JP2014063349A - Malware detection device and method - Google Patents
Malware detection device and method Download PDFInfo
- Publication number
- JP2014063349A JP2014063349A JP2012208002A JP2012208002A JP2014063349A JP 2014063349 A JP2014063349 A JP 2014063349A JP 2012208002 A JP2012208002 A JP 2012208002A JP 2012208002 A JP2012208002 A JP 2012208002A JP 2014063349 A JP2014063349 A JP 2014063349A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- virtual
- malware
- network
- internal network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、ネットワーク・セキュリティ技術に関し、特に制御システムに侵入したマルウェア(Malware)を検出するマルウェア検出技術に関する。 The present invention relates to a network security technique, and more particularly to a malware detection technique for detecting malware that has entered a control system.
情報システムにおいて、ネットワークからPCへのマルウェアの不正侵入は、大きな社会問題となっている。マルウェアは、コンピュータウイルスやワームなど、悪意のあるプログラムや悪質なプログラムの総称である。このようなマルウェアは、PCへ不正侵入した後、そのPCを踏み台にして他のPCへ不正侵入することにより、活動範囲を拡大させるため、被害が大きくなることが多い。 In information systems, unauthorized intrusion of malware from a network to a PC has become a major social problem. Malware is a generic term for malicious programs and malicious programs such as computer viruses and worms. Such malware often incurs serious damage because it expands the range of activities by illegally intruding into a PC and then intruding into another PC using the PC as a stepping stone.
従来、このような不正侵入への対策技術として、おとりサーバによる通信を監視して、その偵察行動に応じて新たなおとりサーバを構築するための構築用情報と、おとりサーバによる通信を新たなおとりサーバに導くための機器設定用情報とを生成し、構築用情報に基づいて不正侵入者に侵入させるおとりサーバを動的に構築するとともに、機器設定用情報に基づいておとりサーバによる通信をネットワークの外部に出さないように制御する技術が提案されている(例えば、特許文献1など参照)。 Conventionally, as a countermeasure technique against such unauthorized intrusion, communication by the decoy server is monitored, and the construction information for constructing a new decoy server according to the reconnaissance behavior and the communication by the decoy server are newly taken. The device setting information to be guided to the server is generated, and a decoy server that allows an intruder to intrude is dynamically constructed based on the construction information, and communication by the decoy server is performed on the network based on the device setting information. Techniques for controlling so as not to be exposed to the outside have been proposed (see, for example, Patent Document 1).
このような情報システムと同様に、プラントや建物設備の制御・監視・管理を行う制御システムにおいても、コンピュータでシステム化されているため、マルウェアの不正侵入への対策を講じて、システムのセキュリティ性を向上させる必要がある。
しかしながら、制御システムは、一般的な情報システムにはない、各種の制約があるため、情報システムと同様の対策を講じることができないという問題点があった。
Similar to such information systems, control systems that control, monitor, and manage plants and building facilities are systematized by computers. It is necessary to improve.
However, the control system has various problems that are not found in a general information system, and there is a problem that it is impossible to take the same measures as the information system.
例えば、制御システムの各ノードを構成するPCは、各機器で得られた測定データに基づき新たな指示データを出力する処理を繰り返し実行しているため、十分な応答性を得るためには、測定データの取得に要する時間、すなわちスキャンタイムを短くする必要ある。したがって、情報システムと同様にして、アンチウィルスソフトを並行稼働させた場合には、処理遅延が発生してスキャンタイムが増大する恐れがあり、十分な応答性を確保できなくなる。 For example, the PC that configures each node of the control system repeatedly executes a process of outputting new instruction data based on the measurement data obtained by each device. Therefore, in order to obtain sufficient responsiveness, It is necessary to shorten the time required for data acquisition, that is, the scan time. Accordingly, when anti-virus software is operated in parallel as in the information system, processing delay may occur and the scan time may increase, and sufficient responsiveness cannot be ensured.
また、制御システムの各ノードを構成するPCは、24時間連続して稼働して設備を制御することが原則である。したがって、情報システムと同様のアンチウィルスソフトを制御システムのPCで用いる場合、アンチウィルスソフトのインストールや新たなマルウェアへの対応のための更新などを行う際に必要となる、PCの停止やリブートを行うことができない。 In principle, the PCs constituting each node of the control system operate continuously for 24 hours to control equipment. Therefore, when anti-virus software similar to the information system is used on the PC of the control system, the PC must be stopped or rebooted when installing anti-virus software or updating for dealing with new malware. I can't.
本発明はこのような課題を解決するためのものであり、制御システムの既存動作を損なうことなく、制御システムに侵入したマルウェアを検出できるマルウェア検出技術を提供することを目的としている。 The present invention is intended to solve such problems, and an object of the present invention is to provide a malware detection technique that can detect malware that has entered a control system without impairing the existing operation of the control system.
このような目的を達成するために、本発明にかかるマルウェア検出装置は、システムネットワークを介して接続された複数のノードから構築されて、24時間連続して稼働して設備を制御する制御システムに対して、外部から侵入するマルウェアを検出するマルウェア検出装置であって、当該装置内部に設けた内部ネットワークに接続されて、前記マルウェアのアクセス対象となる仮想PCと、前記システムネットワークから受信した前記仮想PC宛てのパケットを、前記内部ネットワークを介して当該仮想PCへ転送するとともに、当該内部ネットワークを介して当該仮想PCから受信したレスポンスパケットを前記システムネットワークへ転送するルータ部と、前記内部ネットワークを介して前記ルータ部と前記仮想PCとの間でやり取りが想定される正当な各種パケットについて、当該パケットの発信元アドレスおよび/または実行コマンドが登録された想定リストを記憶する記憶部と、前記内部ネットワークを介して前記ルータ部と前記仮想PCとの間でやり取りされるパケットを取り込んで、当該パケットの発信元アドレスおよび/または実行コマンドを、前記記憶部の想定リストとを照合し、その照合結果に基づいて当該パケットによる不正アクセスの有無を検出する不正検出部とを備えている。 In order to achieve such an object, a malware detection apparatus according to the present invention is constructed from a plurality of nodes connected via a system network, and operates as a control system that operates continuously for 24 hours to control equipment. On the other hand, it is a malware detection device that detects malware entering from the outside, and is connected to an internal network provided in the device, and the virtual PC that is the access target of the malware and the virtual network received from the system network A packet addressed to the PC is transferred to the virtual PC via the internal network, and a router unit that transfers a response packet received from the virtual PC via the internal network to the system network; Exchange between the router unit and the virtual PC For various legitimate packets that are assumed to be, a storage unit that stores an assumption list in which the source address and / or execution command of the packet is registered, and between the router unit and the virtual PC via the internal network An illegality that captures a packet exchanged in the network, collates the source address and / or execution command of the packet with an assumed list in the storage unit, and detects the presence or absence of unauthorized access by the packet based on the collation result And a detection unit.
また、上記マルウェア検出装置の一構成例は、前記不正検出部が、前記内部ネットワークから取り込んだパケットの宛先が前記仮想PCである場合、または当該パケットが前記仮想PC宛てのパケットに対するレスポンスとして前記仮想PCから送信されたパケットである場合に、当該パケットのアクセス内容が前記想定リストと一致しない場合には、当該パケットが前記システムネットワークに接続された前記ノードに侵入したマルウェアからのものであると判定するようにしたものである。 In addition, in the configuration example of the malware detection device, the fraud detection unit may receive the virtual packet as a response to a packet addressed to the virtual PC when the destination of the packet captured from the internal network is the virtual PC. In the case of a packet transmitted from a PC, if the access content of the packet does not match the assumption list, it is determined that the packet is from malware that has entered the node connected to the system network. It is what you do.
また、上記マルウェア検出装置の一構成例は、前記不正検出部が、前記内部ネットワークから取り込んだパケットの宛先が前記仮想PCではなく、かつ、当該パケットが前記仮想PC宛てのパケットに対するレスポンスとして前記仮想PCから送信されたパケットではない場合に、当該パケットのアクセス内容が前記想定リストと一致しない場合には、当該パケットが前記仮想PCに侵入したマルウェアからのものであると判定するようにしたものである。 In addition, in the configuration example of the malware detection device, the fraud detection unit may not send the packet taken from the internal network to the virtual PC, and the virtual packet may be used as a response to the packet addressed to the virtual PC. When the packet is not transmitted from the PC and the access content of the packet does not match the assumption list, it is determined that the packet is from malware that has entered the virtual PC. is there.
また、本発明にかかるマルウェア検出方法は、システムネットワークを介して接続された複数のノードから構築されて、24時間連続して稼働して設備を制御する制御システムに対して、外部から侵入するマルウェアを検出するマルウェア検出装置で用いられるマルウェア検出方法であって、ルータ部が、前記システムネットワークから受信した、前記マルウェアのアクセス対象となる仮想PC宛てのパケットを、当該装置内部に設けた内部ネットワークを介して当該仮想PCへ転送するとともに、当該内部ネットワークを介して当該仮想PCからレスポンス受信したパケットを前記システムネットワークへ転送するルータステップと、記憶部が、前記内部ネットワークを介して前記ルータ部と前記仮想PCとの間でやり取りが想定される正当な各種パケットについて、当該パケットの発信元アドレスおよび/または実行コマンドが登録された想定リストを記憶する記憶ステップと、不正検出部が、前記内部ネットワークを介して前記ルータ部と前記仮想PCとの間でやり取りされるパケットを取り込んで、当該パケットの発信元アドレスおよび/または実行コマンドを、前記記憶部の想定リストとを照合し、その照合結果に基づいて当該パケットによる不正アクセスの有無を検出する不正検出ステップとを備えている。 In addition, the malware detection method according to the present invention is a malware that is constructed from a plurality of nodes connected via a system network and intrudes from the outside to a control system that operates continuously for 24 hours to control equipment. A malware detection method used in a malware detection device for detecting a packet, wherein a router unit receives an internal network provided in the device for a packet addressed to a virtual PC to be accessed by the malware, received from the system network. A router step for transferring a packet received from the virtual PC via the internal network to the system network, and a storage unit for transferring the packet to the virtual PC via the internal network and the router unit via the internal network. Positive that is expected to be exchanged with a virtual PC A storage step for storing an assumption list in which a source address and / or an execution command of the packet is registered, and a fraud detection unit between the router unit and the virtual PC via the internal network. An illegality that captures a packet exchanged in the network, collates the source address and / or execution command of the packet with an assumed list in the storage unit, and detects the presence or absence of unauthorized access by the packet based on the collation result A detection step.
本発明によれば、制御システムの各ノードを構成するPCにおいて、アンチウィルスソフトを並行稼働させることなく、制御システムに侵入したマルウェアを検出することができる。このため、アンチウィルスソフトを並行稼働させた際に生じうる処理遅延の発生を回避でき、測定データの取得に要する時間、すなわちスキャンタイムの増大を抑制でき、設備制御において、十分な応答性を確保することが可能となる。また、アンチウィルスソフトのインストールや新たなマルウェアへの対応のための更新などを行う必要がなくなるため、PCの停止やリブートを行う必要がなくなり、24時間連続して稼働して設備を制御することができる。したがって、一般的な情報システムにはない、各種の制約がある制御システムについて、制御システムの既存動作を損なうことなく、制御システムに侵入したマルウェアを検出することが可能となる。 ADVANTAGE OF THE INVENTION According to this invention, the malware which invaded the control system can be detected in PC which comprises each node of a control system, without running anti-virus software in parallel. For this reason, it is possible to avoid the occurrence of processing delay that may occur when anti-virus software is operated in parallel, and to suppress the increase in time required to acquire measurement data, that is, scan time, and ensure sufficient responsiveness in equipment control. It becomes possible. In addition, it is not necessary to install anti-virus software or update to cope with new malware, so there is no need to stop or reboot the PC, and the equipment can be operated continuously for 24 hours. it can. Therefore, it is possible to detect malware that has entered the control system without impairing the existing operation of the control system for a control system with various restrictions that is not found in a general information system.
[発明の原理]
まず、本発明の原理について説明する。
24時間連続して稼働して設備を制御する制御システムでは、次のような制約がある。
まず、制御システムの各ノードを構成するPCは、各機器で得られた測定データに基づき新たな指示データを出力する処理を繰り返し実行しているため、十分な応答性を得るためには、測定データの取得に要する時間、すなわちスキャンタイムを短くする必要ある。したがって、このようなPCでアンチウィルスソフトを並行稼働させた場合には、処理遅延が発生してスキャンタイムが増大する恐れがあり、十分な応答性を確保できなくなる。
[Principle of the Invention]
First, the principle of the present invention will be described.
A control system that operates continuously for 24 hours to control equipment has the following restrictions.
First, the PCs constituting each node of the control system repeatedly execute a process of outputting new instruction data based on the measurement data obtained by each device. Therefore, in order to obtain sufficient responsiveness, It is necessary to shorten the time required for data acquisition, that is, the scan time. Therefore, when anti-virus software is operated in parallel on such a PC, processing delay may occur and scan time may increase, and sufficient responsiveness cannot be ensured.
また、制御システムの各ノードを構成するPCは、24時間連続して稼働して設備を制御することが原則である。したがって、情報システムと同様のアンチウィルスソフトを制御システムのPCで用いる場合、アンチウィルスソフトのインストールや新たなマルウェアへの対応のための更新などを行う際に必要となる、PCの停止やリブートを行うことができない。 In principle, the PCs constituting each node of the control system operate continuously for 24 hours to control equipment. Therefore, when anti-virus software similar to the information system is used on the PC of the control system, the PC must be stopped or rebooted when installing anti-virus software or updating for dealing with new malware. I can't.
また、アンチウィルスソフトを用いた場合、新たなマルウェアに対応するため、アンチウィルスソフトのプログラムを、逐次、修正する必要があるが、PCの動作保証の観点から、このようなプログラムに対する修正を適用することは避ける必要がある。
また、PCのハードディスクに保存されている各種ファイルをスキャンして、マルウェアを検出する方法もあるが、PCの処理負担が増大するとともに、ハードディスクのアクセス速度が遅延するため、処理遅延が発生してスキャンタイムが増大する恐れがあり、十分な応答性を確保できなくなる。
In addition, when anti-virus software is used, it is necessary to modify the anti-virus software program sequentially in order to cope with new malware. However, from the viewpoint of guaranteeing the operation of the PC, such correction should be applied. Should be avoided.
There is also a method to detect malware by scanning various files stored on the hard disk of the PC, but the processing load increases because the processing load on the PC increases and the access speed of the hard disk is delayed. There is a risk that the scan time will increase, and sufficient responsiveness cannot be secured.
一方、制御システムは、一般的な情報システムとは異なる特徴的なネットワーク構成を有している。
すなわち、システムネットワークに接続されている各ノードは、固定的なIPアドレスを有しており、動的に変化するものではない。また、インターネットへの接続が必須ではなく、外部ネットワークへの接続を遮断することが可能である。また、外部ネットワークからの限定的監視ニーズがあり、ファイアーウォールにより限定的に接続を許可することも可能である。
On the other hand, the control system has a characteristic network configuration different from a general information system.
That is, each node connected to the system network has a fixed IP address and does not change dynamically. In addition, connection to the Internet is not essential, and connection to an external network can be blocked. In addition, there is a limited monitoring need from an external network, and it is also possible to permit a limited connection through a firewall.
本発明は、前述した制御システムに特有の制約に加えて、このようなネットワーク構成上の特徴に着目し、ノードを構成するPCにアンチウィルスソフトをインストールせずに、システムネットワーク上でマルウェアによる不正アクセスを監視するものとし、この際、正当なアクセスをリスト化した想定リストで照合することにより、マルウェアによる不正アクセスを検出するようにしたものである。 The present invention pays attention to such network configuration features in addition to the restrictions specific to the control system described above, and unauthorized access by malware on the system network without installing anti-virus software on the PC constituting the node. In this case, unauthorized access by malware is detected by collating with an assumed list in which legitimate accesses are listed.
[実施の形態]
次に、本発明の一実施の形態について図面を参照して説明する。
まず、図1を参照して、本実施の形態にかかるマルウェア検出装置10について説明する。図1は、マルウェア検出装置の構成を示すブロック図である。図2は、マルウェア検出装置の構成を示すブロック図である。
[Embodiment]
Next, an embodiment of the present invention will be described with reference to the drawings.
First, with reference to FIG. 1, the
このマルウェア検出装置10は、全体としてサーバ装置やPCなどの情報通信装置からなり、プラントや建物設備の制御・監視・管理を行う制御システム1のシステムネットワーク20に接続されて、制御システム1内へ不正侵入したマルウェアを検出する機能を有している。
The
ノードNDは、全体としてサーバ装置やPCなどの情報通信装置からなり、システムネットワーク20に接続されて、制御システム1における各種処理を行う機能を有している。
ゲートウェイ30は、全体として一般的なゲートウェイ装置からなり、システムネットワーク20と外部ネットワークNWとを中継接続する機能を有している。
The node ND includes an information communication device such as a server device or a PC as a whole, and is connected to the
The
マルウェア検出装置10には、主な機能部として、ルータ部11、内部ネットワーク12、仮想PC13、不正検出部14、仮想PC記録部15、および記憶部16が設けられている。
The
ルータ部11は、専用の通信処理回路からなり、システムネットワーク20と内部ネットワーク12との間でやり取りされるパケットを制限して転送するファイアーウォール機能と、仮想PC13内の通信I/Fの動作を代理する機能とを有している。
このルータ部11は、代理ネットワークI/F部11Aとパケット転送制御部11Bとから構成されている。
The
The
代理ネットワークI/F部11Aは、システムネットワーク20とパケット転送制御部11Bとに接続されて、システムネットワーク20側から仮想PC13宛てのリクエストを示すパケットを受信して、パケット転送制御部11Bへ転送する機能と、当該リクエストへの応答に応じて仮想PC13から送信されてパケット転送制御部11Bで受信したパケットを、システムネットワーク20からリクエスト元へ転送する機能とを有している。
The proxy network I /
この代理ネットワークI/F部11Aは、システムネットワーク20と接続するための通信ポート11Xを有しており、この通信ポート11Xには、システムネットワーク20のIPアドレスやMACアドレスが割り当てられている。図2の例では、システムネットワーク20が「LAN2」として割り当てられており、IPアドレスとして「172.18.21.234」が割り当てられている。また、外部ネットワークNWへのパケット送信先となるゲートウェイGWとして、ゲートウェイ30の通信ポート30PのIPアドレス「172.18.21.2」が割り当てられている。
また、通信ポート11Xでは、仮想PC13で使用するポート番号と同じポート番号が使用可能な状態にオープンされている。図2の例では、使用可能なポート番号として「137」,「139」,「445」,〜,「135」がオープンされている。
The proxy network I /
Further, the communication port 11X is opened in a state where the same port number as that used in the
パケット転送制御部11Bは、代理ネットワークI/F部11Aと内部ネットワーク12とに接続されて、代理ネットワークI/F部11Aから転送された仮想PC13宛てのリクエストを示すパケットを、仮想PC13の通信ポート13Pのうち、代理ネットワークI/F部11Aで当該パケットを受信したポート番号と同じポート番号へ、内部ネットワーク12を介して転送する機能と、当該リクエストへの応答に応じて仮想PC13から送信されたパケットを内部ネットワーク12から受信し、代理ネットワークI/F部11Aへ転送する機能とを有している。
The packet
このパケット転送制御部11Bは、内部ネットワーク12と接続するための通信ポート16Pを有しており、この通信ポート16Pには、内部ネットワーク12のIPアドレスやMACアドレスが割り当てられている。図2の例では、内部ネットワーク12が「LAN1」として割り当てられており、IPアドレスとして「192.168.1.1」が割り当てられている。
The packet
また、パケット転送制御部11Bは、ルータとしての一般的な機能として、例えばパケット転送時にフィルタ情報に応じてパケットの転送/破棄を行う機能や、システムネットワーク20と内部ネットワーク12とのネットワークアドレス変換する機能を有している。
図3は、転送設定情報の構成例である。ここでは、外部ネットワークNWへのパケット送信先となるゲートウェイGW、代理ネットワークI/F部11Aの通信ポート11X、パケット転送制御部11Bの通信ポート11Yに関する各IPアドレスのほか、システムネットワーク20から仮想PC13へ転送するパケットの転送可否を示すフィルタ情報や、システムネットワーク20と内部ネットワーク12とのネットワークアドレス変換のためのNAT(Network Address Translation)情報が設定されている。
The packet
FIG. 3 is a configuration example of transfer setting information. Here, in addition to the IP address relating to the gateway GW that is a packet transmission destination to the external network NW, the communication port 11X of the proxy network I /
内部ネットワーク12は、マルウェア検出装置10の内部に設けられて、ルータ部11、仮想PC13、および不正検出部14が、内部ネットワーク12を介して相互にパケット通信可能に接続する機能を有している。
The
仮想PC13は、マルウェア検出装置10のコンピュータ(図示せず)により、メモリ上で仮想的に構築されて、マルウェアのアクセス対象となるPC(パーソナルコンピュータ)からなり、内部ネットワーク12と接続されて、パケット転送制御部11Bから内部ネットワーク12を介して受信したパケットに含まれるリクエストの実行コマンドに応じた処理を実行する機能と、この処理で得られた内容を含む応答を示すパケットを内部ネットワーク12を介してパケット転送制御部11Bへ送信する機能とを有している。
The
このパケット転送制御部11Bは、内部ネットワーク12と接続するための通信ポート13Pを有しており、この通信ポート13Pには、内部ネットワーク12のIPアドレスやMACアドレスが割り当てられている。また、通信ポート13Pには、仮想PC13で使用するポート番号が使用可能な状態に設定されている。図2の例では、IPアドレスとして「192.168.1.180」が割り当てられている。また、外部ネットワークNWへのパケット送信先となるゲートウェイGWとして、パケット転送制御部11Bの通信ポート11YのIPアドレス「192.168.1.1」が割り当てられている。
また、通信ポート13Pでは、いくつかのポート番号が使用可能な状態にオープンされている。図2の例では、使用可能なポート番号として「137」,「139」,「445」,〜,「135」がオープンされている。
The packet
Further, in the
不正検出部14は、内部ネットワーク12に接続されて、パケット転送制御部11Bと仮想PC13との間でやり取りされるパケットを取り込んで、当該パケットの発信元アドレスや実行コマンドを確認することにより当該パケットのアクセス内容を分析する機能と、得られたアクセス内容の発信元アドレスおよび/または実行コマンドが、後述する記憶部16の想定リスト16Aに登録されているか否かに基づいて、当該パケットが不正アクセスであるか否かを判定する機能とを有している。
The
また、不正検出部14は、当該パケットが仮想PC13宛てのパケットまたは仮想PC13宛てのパケットに対するレスポンスである場合には、当該不正アクセスがシステムネットワーク20上のノードNDに侵入したマルウェアによるものと判定する機能と、当該パケットが仮想PC13宛てのパケットおよび仮想PC13宛てのパケットに対するレスポンスでない場合には、当該不正アクセスが仮想PC13に侵入したマルウェアによる可能性があると判定する機能と、これら不正アクセスに対応するパケットと判定結果とを含む不正検出結果16Bを記憶部16に記録する機能とを有している。
Further, if the packet is a packet addressed to the
仮想PC記録部15は、不正検出部14において仮想PC13へのマルウェア侵入の可能性があると判定された場合には、仮想PC13の動作状態を示す不正イメージデータ16Cをを記憶部16に記録する機能とを有している。
When the
記憶部16は、ハードディスクや半導体メモリからなり、各機能部での処理動作に用いる各種処理情報やプログラムを記憶する機能を有している。
記憶部16で記憶する処理情報として、想定リスト16A、不正検出結果16B、および不正イメージデータ16Cがある。
図4は、想定リストの構成例である。想定リスト16Aは、内部ネットワーク12でのやり取りが想定される、正常なパケットのアクセス内容を示すリストである。ここでは、パケットの特徴を示す、発信元アドレス、実行コマンドなどの属性情報からなる組がエントリとしてそれぞれ登録されている。
The
The processing information stored in the
FIG. 4 is a configuration example of an assumption list. The
不正検出結果16Bは、不正検出部14で検出した不正アクセスの内容を示す情報である。例えば、システムネットワーク20上のノードNDに侵入したマルウェアからの不正アクセスについては、当該不正アクセスが検出されたパケットのパケットデータとその判定結果が、不正検出結果16Bとして記録される。
不正イメージデータ16Cは、マルウェアが侵入した可能性がある仮想PC13の動作状態を示すメモリイメージであり、仮想PC13にマルウェアが侵入している場合には、そのマルウェアの検体を含んでいる。
The
The
マルウェア検出装置10における機能部のうち、仮想PC13、不正検出部14、および仮想PC記録部15は、CPU(図示せず)が記憶部16からプログラム(図示せず)を読み出して実行してなる演算処理部により実現される。このプログラムは、外部装置や記録媒体(ともに図示せず)に予め保存されており、マルウェア検出装置10の記憶部16に転送されて格納される。
Among the functional units in the
[実施の形態の動作]
次に、図5および図6を参照して、本実施の形態にかかるマルウェア検出装置10の動作について説明する。図5は、代理ネットワークI/F部およびパケット転送制御部のパケット転送処理を示すフローチャートである。図6は、不正検出部および仮想PC記録部の不正アクセス検出処理を示すフローチャートである。
[Operation of the embodiment]
Next, the operation of the
代理ネットワークI/F部11Aにおいて、システムネットワーク20から通信ポート11Xでパケットaが受信された際、図5に示すパケット転送処理が開始される。
まず、代理ネットワークI/F部11Aは、受信したパケットaがARP(Address Resolution Protocol)パケットか否か判定する(ステップ100)。ARPは、IPアドレスからMACアドレスを知るためのプロトコルである。
When the proxy network I /
First, the proxy network I /
ここで、パケットaがARPパケットである場合(ステップ100:YES)、代理ネットワークI/F部11Aは、ARP処理に応じて当該パケットaを代理で応答し(ステップ101)、一連のパケット転送処理を終了する。
一方、パケットaがARPパケットでない場合(ステップ100:NO)、代理ネットワークI/F部11Aは、パケットaをパケット転送制御部11Bへ渡す(ステップ102)。
Here, when the packet a is an ARP packet (step 100: YES), the proxy network I /
On the other hand, when the packet a is not an ARP packet (step 100: NO), the proxy network I /
パケット転送制御部11Bは、代理ネットワークI/F部11Aから受け取ったパケットaを、仮想PC13の通信ポート13Pのうち、代理ネットワークI/F部11Aの通信ポート11Xで当該パケットを受信したポート番号mと同じポート番号mへ、内部ネットワーク12を介して転送する(ステップ110)。
また、パケット転送制御部11Bは、パケットaのポート番号mを記憶しておく(ステップ111)。
The packet
The packet
この後、パケット転送制御部11Bは、仮想PC13から送信されたパケットbを、通信ポート11Yで受信し(ステップ112)、パケットbが、仮想PC13の通信ポート13Pのうち、ポート番号mから送信されたパケットaに対する応答パケットか否か確認する(ステップ113)。
ここで、パケットbがポート番号mからの応答パケットである場合(ステップ113:YES)、パケット転送制御部11Bは、パケットbを代理ネットワークI/F部11Aへ渡す(ステップ114)。
Thereafter, the packet
Here, when the packet b is a response packet from the port number m (step 113: YES), the packet
代理ネットワークI/F部11Aは、パケット転送制御部11Bから受け取ったパケットbを、通信ポート11Xのポート番号mからシステムネットワーク20へ送信し(ステップ103)、一連のパケット転送処理を終了する。
一方、パケットbがポート番号mからの応答パケットでない場合(ステップ113:NO)、パケット転送制御部11Bは、パケットbを破棄し(ステップ115)、一連のパケット転送処理を終了する。
The proxy network I /
On the other hand, when the packet b is not a response packet from the port number m (step 113: NO), the packet
また、内部ネットワーク12を介してパケット転送制御部11Bと仮想PC13との間でパケットcがやり取りされた場合、図6の不正アクセス検出処理が開始される。
まず、不正検出部14は、内部ネットワーク12から取り込んだパケットcの宛先を確認する(ステップ120)。
When the packet c is exchanged between the packet
First, the
ここで、パケットcの宛先が仮想PC13である場合(ステップ120:YES)、不正検出部14は、パケットcの発信元アドレスや実行コマンドを確認することにより当該パケットのアクセス内容を分析し(ステップ121)、得られたアクセス内容の発信元アドレスおよび/または実行コマンドが、予め設定されている想定リスト16Aに登録されているか否か確認する(ステップ122)。
Here, when the destination of the packet c is the virtual PC 13 (step 120: YES), the
この際、パケットcのアクセス内容が想定リスト16Aに登録されている場合(ステップ122:NO)、不正検出部14は、一連の不正アクセス検出処理を終了する。
一方、パケットcのアクセス内容が想定リスト16Aに登録されていない場合(ステップ122:YES)、不正検出部14は、当該パケットcによるアクセスを、システムネットワーク20上のノードNDからの不正アクセスであると判定し(ステップ123)、パケットcと判定結果を含む不正検出結果16Bを記憶部16に記録し(ステップ124)、一連の不正アクセス検出処理を終了する。
At this time, if the access content of the packet c is registered in the
On the other hand, when the access content of the packet c is not registered in the
不正検出結果16Bについては、記憶部16に記録する以外に、マルウェア検出装置10の画面表示部(図示せず)に表示してもよく、システムネットワーク20に接続されている監視装置(図示せず)に転送して、制御システム1の運転員に通知するようにしてもよい。
The
また、ステップ120において、パケットcの宛先が仮想PC13でない場合(ステップ120:NO)、不正検出部14は、パケットcが仮想PC13宛てのパケットに対するレスポンスとして、仮想PC13からパケット転送制御部11Bへ送信されたパケットか否か確認する(ステップ125)。
ここで、パケットcが上記レスポンスのパケットである場合(ステップ125:YES)、前述したステップ121へ移行する。
In
If the packet c is a response packet (step 125: YES), the process proceeds to step 121 described above.
一方、パケットcが上記レスポンスのパケットでない場合(ステップ125:NO)、不正検出部14は、パケットcの発信元アドレスや実行コマンドを確認することにより当該パケットのアクセス内容を分析し(ステップ126)、得られたアクセス内容の発信元アドレスおよび/または実行コマンドが、予め設定されている想定リスト16Aに登録されているか否か確認する(ステップ127)。
On the other hand, when the packet c is not the response packet (step 125: NO), the
この際、パケットcのアクセス内容が想定リスト16Aに登録されている場合(ステップ127:NO)、不正検出部14は、一連の不正アクセス検出処理を終了する。
一方、パケットcのアクセス内容が想定リスト16Aに登録されていない場合(ステップ127:YES)、不正検出部14は、当該パケットcのアクセスにより、仮想PCにマルウェア侵入の可能性があると判定し(ステップ128)、パケットcと判定結果を含む不正検出結果16Bを記憶部16に記録し(ステップ129)、一連の不正アクセス検出処理を終了する。
At this time, if the access content of the packet c is registered in the
On the other hand, when the access content of the packet c is not registered in the
また、仮想PC記録部15は、不正検出部14における、仮想PC13へのマルウェア侵入の可能性ありの判定に応じて、仮想PC13の動作状態を示すメモリイメージを取得し(ステップ130)、不正イメージデータ16Cとして記憶部16に記録し(ステップ131)、一連の不正アクセス検出処理を終了する。
Further, the virtual
[実施の形態の効果]
このように、本実施の形態は、ルータ部11Bが、システムネットワーク20から受信した仮想PC13宛てのパケットを、内部ネットワーク12を介して当該仮想PC13へ転送するとともに、当該内部ネットワーク12を介して当該仮想PC13から受信したパケットをシステムネットワーク20へ転送し、記憶部16が、内部ネットワーク12を介してルータ部11と仮想PC13との間でやり取りが想定される正当な各種パケットについて、当該パケットの発信元アドレスおよび/または実行コマンドが登録された想定リスト16Aを記憶し、不正検出部14が、内部ネットワーク12を介してルータ部11と仮想PC13との間でやり取りされるパケットを取り込んで、当該パケットの発信元アドレスおよび/または実行コマンドを、想定リスト16Aとを照合し、その照合結果に基づいて当該パケットによる不正アクセスの有無を検出するようにしたものである。
[Effect of the embodiment]
As described above, in the present embodiment, the
これにより、制御システムの各ノードを構成するPCにおいて、アンチウィルスソフトを並行稼働させることなく、制御システムに侵入したマルウェアを検出することができる。このため、アンチウィルスソフトを並行稼働させた際に生じうる処理遅延の発生を回避でき、測定データの取得に要する時間、すなわちスキャンタイムの増大を抑制でき、設備制御において、十分な応答性を確保することが可能となる。また、アンチウィルスソフトのインストールや新たなマルウェアへの対応のための更新などを行う必要がなくなるため、PCの停止やリブートを行う必要がなくなり、24時間連続して稼働して設備を制御することができる。
したがって、本発明によれば、一般的な情報システムにはない、各種の制約がある制御システムについて、制御システムの既存動作を損なうことなく、制御システムに侵入したマルウェアを検出することが可能となる。
As a result, it is possible to detect malware that has entered the control system without running anti-virus software in parallel on the PCs constituting each node of the control system. For this reason, it is possible to avoid the occurrence of processing delay that may occur when anti-virus software is operated in parallel, and to suppress the increase in time required to acquire measurement data, that is, scan time, and ensure sufficient responsiveness in equipment control. It becomes possible. In addition, it is not necessary to install anti-virus software or update to cope with new malware, so there is no need to stop or reboot the PC, and the equipment can be operated continuously for 24 hours. it can.
Therefore, according to the present invention, it is possible to detect malware that has entered the control system without impairing the existing operation of the control system for a control system with various restrictions that is not found in a general information system. .
また、本実施の形態では、不正検出部14が、内部ネットワーク12から取り込んだパケットの宛先が仮想PC13である場合、または当該パケットが仮想PC13宛てのパケットに対するレスポンスとして仮想PC13から送信されたパケットである場合に、当該パケットのアクセス内容が想定リスト16Aと一致しない場合には、当該パケットがシステムネットワーク20に接続されたノードNDに侵入したマルウェアからのものであると判定するようにしたものである。
これにより、マルウェアがノードNDに侵入した場合、その侵入した箇所を特定することができる。
Further, in the present embodiment, the
Thereby, when the malware invades the node ND, the intruding portion can be specified.
また、本実施の形態は、不正検出部14が、内部ネットワーク12から取り込んだパケットの宛先が仮想PC13ではなく、かつ、当該パケットが仮想PC13宛てのパケットに対するレスポンスとして仮想PC13から送信されたパケットではない場合に、当該パケットのアクセス内容が想定リスト16Aと一致しない場合には、当該パケットが仮想PC13に侵入したマルウェアからのものであると判定するようにしたものである。
これにより、マルウェアが仮想PC13に侵入した場合、仮想PC13の動作状態を示す不正イメージデータ16Cの保存によりマルウェアの検体を確保できる。
Further, in the present embodiment, the
Thereby, when malware invades
[実施の形態の拡張]
以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しうる様々な変更をすることができる。
[Extended embodiment]
The present invention has been described above with reference to the embodiments, but the present invention is not limited to the above embodiments. Various changes that can be understood by those skilled in the art can be made to the configuration and details of the present invention within the scope of the present invention.
1…制御システム、10…マルウェア検出装置、11…ルータ部、11A…代理ネットワークI/F部、11B…パケット転送制御部、11X,11Y…通信ポート、12…内部ネットワーク、13…仮想PC、13P…通信ポート、14…不正検出部、15…仮想PC記録部、16…記憶部、16A…想定リスト、16B…不正検出結果、16C…不正イメージデータ、20…システムネットワーク、30…ゲートウェイ、30P…通信ポート、ND…ノード、NW…外部ネットワーク。
DESCRIPTION OF
Claims (4)
当該装置内部に設けた内部ネットワークに接続されて、前記マルウェアのアクセス対象となる仮想PCと、
前記システムネットワークから受信した前記仮想PC宛てのパケットを、前記内部ネットワークを介して当該仮想PCへ転送するとともに、当該内部ネットワークを介して当該仮想PCから受信したレスポンスパケットを前記システムネットワークへ転送するルータ部と、
前記内部ネットワークを介して前記ルータ部と前記仮想PCとの間でやり取りが想定される正当な各種パケットについて、当該パケットの発信元アドレスおよび/または実行コマンドが登録された想定リストを記憶する記憶部と、
前記内部ネットワークを介して前記ルータ部と前記仮想PCとの間でやり取りされるパケットを取り込んで、当該パケットの発信元アドレスおよび/または実行コマンドを、前記記憶部の想定リストとを照合し、その照合結果に基づいて当該パケットによる不正アクセスの有無を検出する不正検出部と
を備えることを特徴とするマルウェア検出装置。 A malware detection apparatus that detects malware entering from the outside with respect to a control system that is constructed from a plurality of nodes connected via a system network and operates continuously for 24 hours to control equipment,
A virtual PC connected to an internal network provided in the device and to be accessed by the malware;
A router for forwarding a packet addressed to the virtual PC received from the system network to the virtual PC via the internal network and forwarding a response packet received from the virtual PC via the internal network to the system network And
A storage unit that stores an assumed list in which a source address and / or an execution command of the packet is registered for various valid packets assumed to be exchanged between the router unit and the virtual PC via the internal network When,
Taking in a packet exchanged between the router unit and the virtual PC via the internal network, collating the source address and / or execution command of the packet with an assumed list in the storage unit, A malware detection device comprising: a fraud detection unit that detects the presence or absence of unauthorized access by the packet based on a collation result.
前記不正検出部は、前記内部ネットワークから取り込んだパケットの宛先が前記仮想PCである場合、または当該パケットが前記仮想PC宛てのパケットに対するレスポンスとして前記仮想PCから送信されたパケットである場合に、当該パケットのアクセス内容が前記想定リストと一致しない場合には、当該パケットが前記システムネットワークに接続された前記ノードに侵入したマルウェアからのものであると判定することを特徴とするマルウェア検出装置。 The malware detection device according to claim 1,
The fraud detector, when the destination of the packet taken from the internal network is the virtual PC, or when the packet is a packet transmitted from the virtual PC as a response to the packet addressed to the virtual PC, A malware detection device, wherein if the access content of a packet does not match the assumption list, it is determined that the packet is from malware that has entered the node connected to the system network.
前記不正検出部は、前記内部ネットワークから取り込んだパケットの宛先が前記仮想PCではなく、かつ、当該パケットが前記仮想PC宛てのパケットに対するレスポンスとして前記仮想PCから送信されたパケットではない場合に、当該パケットのアクセス内容が前記想定リストと一致しない場合には、当該パケットが前記仮想PCに侵入したマルウェアからのものであると判定することを特徴とするマルウェア検出装置。 In the malware detection apparatus according to claim 1 or 2,
The fraud detection unit, when the destination of the packet taken from the internal network is not the virtual PC and the packet is not a packet transmitted from the virtual PC as a response to the packet addressed to the virtual PC, A malware detection device characterized in that, when the access content of a packet does not match the assumption list, it is determined that the packet is from malware that has entered the virtual PC.
ルータ部が、前記システムネットワークから受信した、前記マルウェアのアクセス対象となる仮想PC宛てのパケットを、当該装置内部に設けた内部ネットワークを介して当該仮想PCへ転送するとともに、当該内部ネットワークを介して当該仮想PCから受信したレスポンスパケットを前記システムネットワークへ転送するルータステップと、
記憶部が、前記内部ネットワークを介して前記ルータ部と前記仮想PCとの間でやり取りが想定される正当な各種パケットについて、当該パケットの発信元アドレスおよび/または実行コマンドが登録された想定リストを記憶する記憶ステップと、
不正検出部が、前記内部ネットワークを介して前記ルータ部と前記仮想PCとの間でやり取りされるパケットを取り込んで、当該パケットの発信元アドレスおよび/または実行コマンドを、前記記憶部の想定リストとを照合し、その照合結果に基づいて当該パケットによる不正アクセスの有無を検出する不正検出ステップと
を備えることを特徴とするマルウェア検出方法。 Malware detection used in a malware detection device that detects malware entering from outside a control system that is constructed from a plurality of nodes connected via a system network and operates continuously for 24 hours to control equipment. A method,
The router unit forwards the packet received from the system network and addressed to the virtual PC to be accessed by the malware to the virtual PC via the internal network provided in the device, and via the internal network. A router step of transferring a response packet received from the virtual PC to the system network;
The storage unit has an assumed list in which the source address of the packet and / or the execution command is registered for various valid packets assumed to be exchanged between the router unit and the virtual PC via the internal network. A storage step for storing;
The fraud detection unit captures a packet exchanged between the router unit and the virtual PC via the internal network, and sends a source address and / or an execution command of the packet to an assumed list of the storage unit And a fraud detection step for detecting the presence or absence of unauthorized access by the packet based on the collation result.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012208002A JP5898024B2 (en) | 2012-09-21 | 2012-09-21 | Malware detection apparatus and method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012208002A JP5898024B2 (en) | 2012-09-21 | 2012-09-21 | Malware detection apparatus and method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014063349A true JP2014063349A (en) | 2014-04-10 |
| JP5898024B2 JP5898024B2 (en) | 2016-04-06 |
Family
ID=50618525
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012208002A Active JP5898024B2 (en) | 2012-09-21 | 2012-09-21 | Malware detection apparatus and method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5898024B2 (en) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101732972B1 (en) | 2015-11-30 | 2017-05-08 | 인하대학교 산학협력단 | Method for Detecting C and C Zeus Based on Windows API Hooking and Zeus Packet Length |
| JP2019092106A (en) * | 2017-11-16 | 2019-06-13 | 富士通株式会社 | Network monitoring device, network monitoring method, and network monitoring program |
| JP2020535565A (en) * | 2017-09-07 | 2020-12-03 | 802・セキュア・インコーポレーテッド | Systems and methods to provide wireless access security by question |
| US11226612B2 (en) | 2016-10-24 | 2022-01-18 | Panasonic Intellectual Property Management Co., Ltd. | Product manufacturing system, malware detection system, product manufacturing method, and malware detection method |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012093917A (en) * | 2010-10-26 | 2012-05-17 | Nippon Telegr & Teleph Corp <Ntt> | Virtual control program, information processing apparatus, and virtual control method |
-
2012
- 2012-09-21 JP JP2012208002A patent/JP5898024B2/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012093917A (en) * | 2010-10-26 | 2012-05-17 | Nippon Telegr & Teleph Corp <Ntt> | Virtual control program, information processing apparatus, and virtual control method |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101732972B1 (en) | 2015-11-30 | 2017-05-08 | 인하대학교 산학협력단 | Method for Detecting C and C Zeus Based on Windows API Hooking and Zeus Packet Length |
| US11226612B2 (en) | 2016-10-24 | 2022-01-18 | Panasonic Intellectual Property Management Co., Ltd. | Product manufacturing system, malware detection system, product manufacturing method, and malware detection method |
| US11782420B2 (en) | 2016-10-24 | 2023-10-10 | Panasonic Intellectual Property Management Co., Ltd. | Malware detection system |
| JP2020535565A (en) * | 2017-09-07 | 2020-12-03 | 802・セキュア・インコーポレーテッド | Systems and methods to provide wireless access security by question |
| JP7121129B2 (en) | 2017-09-07 | 2022-08-17 | 802・セキュア・インコーポレーテッド | Systems and methods for providing wireless access security through interrogation |
| JP2019092106A (en) * | 2017-11-16 | 2019-06-13 | 富士通株式会社 | Network monitoring device, network monitoring method, and network monitoring program |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5898024B2 (en) | 2016-04-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11843666B2 (en) | Sub-networks based security method, apparatus and product | |
| US10812521B1 (en) | Security monitoring system for internet of things (IOT) device environments | |
| EP3127301B1 (en) | Using trust profiles for network breach detection | |
| US10567411B2 (en) | Dynamically adapted traffic inspection and filtering in containerized environments | |
| EP3014813B1 (en) | Rootkit detection by using hardware resources to detect inconsistencies in network traffic | |
| US8910285B2 (en) | Methods and systems for reciprocal generation of watch-lists and malware signatures | |
| US10693899B2 (en) | Traffic enforcement in containerized environments | |
| JP4327698B2 (en) | Network type virus activity detection program, processing method and system | |
| WO2014112185A1 (en) | Attack analysis system, coordination device, attack analysis coordination method, and program | |
| US20120005743A1 (en) | Internal network management system, internal network management method, and program | |
| JP6994123B2 (en) | Security for container networks | |
| JP5920169B2 (en) | Unauthorized connection detection method, network monitoring apparatus and program | |
| Martin et al. | Fending off IoT-hunting attacks at home networks | |
| JP5898024B2 (en) | Malware detection apparatus and method | |
| US8272041B2 (en) | Firewall control via process interrogation | |
| JP2017204721A (en) | Security system | |
| JP6943313B2 (en) | Log analysis system, analysis equipment, method, and analysis program | |
| JP2019152912A (en) | Unauthorized communication handling system and method | |
| JP2022094354A (en) | Context profiling for malware detection | |
| JP2008011008A (en) | Unauthorized access prevention system | |
| WO2015178002A1 (en) | Information processing device, information processing system, and communication history analysis method | |
| KR102156600B1 (en) | System and method for creating association between packets collected in network and processes in endpoint computing device | |
| US20230319075A1 (en) | Network access control from anywhere | |
| JP6760884B2 (en) | Generation system, generation method and generation program | |
| JP2016058906A (en) | Communication control device, communication control method, communication control program, and communication system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150507 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160120 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160301 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160303 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5898024 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |