JP2016149131A5

JP2016149131A5 -

Info

Publication number: JP2016149131A5
Application number: JP2016023790A
Authority: JP
Filing date: 2016-02-10
Publication date: 2019-03-14
Anticipated expiration: 2036-02-10

Claims

プロセス制御システムのコンピューティングデバイスにおけるセキュリティ事象検出方法であって、
前記コンピューティングデバイスで実行している第１の仮想マシンによる複数のリソースの使用量を、監視エージェントによって監視することであって、前記監視エージェントは、前記第１の仮想マシンとは分離して前記コンピューティングデバイスで実行している、監視することと、
前記複数のリソースの前記使用量をリソース使用パターンと比較することによって、潜在的セキュリティ事象を検出することと、
前記検出された潜在的セキュリティ事象に深刻度レベルを割り当てることと、
前記割り当てられた深刻度レベルに基づいて、セキュリティ措置を開始することと、を含む、セキュリティ事象検出方法。
前記監視エージェントは、前記第１の仮想マシンを管理するハイパーバイザと通信して、前記第１の仮想マシンによる前記複数のリソースの前記使用量を監視する、請求項１に記載のセキュリティ事象検出方法。
前記監視エージェントは、前記コンピューティングデバイスの第２の仮想マシン内で実行している、請求項１又は請求項２に記載のセキュリティ事象検出方法。
前記監視エージェントは、前記第１の仮想マシンを管理するハイパーバイザの一部である、請求項１〜請求項３の何れか１項に記載のセキュリティ事象検出方法。
監視エージェントは、前記第１の仮想マシンのメモリ使用量、記憶ディスク使用量、ネットワーク使用量、及びハードウェア使用量のうちの少なくとも１つを監視する、請求項１〜請求項４の何れか１項に記載のセキュリティ事象検出方法。
前記検出された潜在的セキュリティ事象への最高深刻度レベルの割り当てに応答して、前記セキュリティ措置を開始することは、
第２の仮想マシンを、前記潜在的セキュリティ事象が検出される前に作成された前記第１の仮想マシンのスナップショットに基づいて、前記コンピューティングデバイスにインスタンス化させることと、
前記第１の仮想マシンの機能性を前記第２の仮想マシンに移動させることと、
前記第１の仮想マシンを終了させることと、を含む、請求項１〜請求項５の何れか１項に記載のセキュリティ事象検出方法。
前記第１の仮想マシンに整合性レベルを割り当てることと、
前記潜在的セキュリティ事象の検出に応答して、前記第１の仮想マシンの前記整合性レベルを引き下げることと、
前記第１の仮想マシンの前記整合性レベルが整合性レベル閾値を下回るときに、前記第１の仮想マシンの前記整合性レベルに基づいて前記セキュリティ措置を開始することと、をさらに含む、請求項１〜請求項６の何れか１項に記載のセキュリティ事象検出方法。
リソースモニタであって、プロセッサを介して、
コンピューティングデバイスで実行している第１の仮想マシンによる複数のリソースの使用量を監視することであって、前記リソースモニタは、前記第１の仮想マシンとは分離している、監視すること、及び
前記複数のリソースの前記使用量をリソース使用パターンと比較することによって、潜在的セキュリティ事象を検出することを行うための、リソースモニタと、セキュリティ事象ハンドラであって、
前記検出された潜在的セキュリティ事象に深刻度レベルを割り当てること、及び
前記割り当てられた深刻度レベルに関して定義されるセキュリティ措置を開始することを行うための、セキュリティ事象ハンドラと、を備える、装置。
前記リソースモニタは、前記第１の仮想マシンを管理するハイパーバイザと通信して、前記第１の仮想マシンの前記複数のリソースの前記使用量を監視するものである、請求項８に記載の装置。
前記リソースモニタは、前記第１の仮想マシンを管理するハイパーバイザの一部である、請求項８又は請求項９に記載の装置。
リソースモニタは、前記第１の仮想マシンのメモリ使用量、記憶ディスク使用量、ネットワーク使用量、及びハードウェア使用量のうちの少なくとも１つを監視するものである、請求項８〜請求項１０の何れか１項に記載の装置。
前記検出された潜在的セキュリティ事象への最高深刻度レベルの割り当てに応答して、前記セキュリティ事象ハンドラは、
第２の仮想マシンを、前記潜在的セキュリティ事象が検出される前に作成された前記第１の仮想マシンのスナップショットに基づいて、前記コンピューティングデバイスにインスタンス化させることと、
前記第１の仮想マシンの機能性を前記第２の仮想マシンに移動させることと、
前記第１の仮想マシンを終了させることと、を行うものである、請求項８〜請求項１１の何れか１項に記載の装置。
前記セキュリティ事象ハンドラは、
前記第１の仮想マシンに整合性レベルを割り当てることと、
潜在的セキュリティ事象の検出に応答して、前記第１の仮想マシンの前記整合性レベルを引き下げることと、
前記第１の仮想マシンの前記整合性レベルが整合性レベル閾値を下回るときに、前記第１の仮想マシンの前記整合性レベルに基づいてセキュリティ措置を開始することと、を行うものである、請求項８〜請求項１２の何れか１項に記載の装置。
有形コンピュータ可読記憶媒体であって、実行されるときに、監視エージェントに、少なくとも
コンピューティングデバイスで実行している第１の仮想マシンによる複数のリソースの使用量を監視することであって、前記監視エージェントは、前記第１の仮想マシンとは分離して前記コンピューティングデバイスで実行している、監視することと、
前記複数のリソースの前記使用量をリソース使用パターンと比較することによって、潜在的セキュリティ事象を検出することと、
前記検出された潜在的セキュリティ事象に深刻度レベルを割り当てることと、
前記割り当てられた深刻度レベルに関して定義されるセキュリティ措置を開始することと、を行わせる命令を含む、有形コンピュータ可読記憶媒体。
前記命令は、実行されるときに、前記監視エージェントに、前記第１の仮想マシンを管理するハイパーバイザとさらに通信して、前記第１の仮想マシンの前記複数のリソースの前記使用量を監視させる、請求項１４に記載の有形コンピュータ可読記憶媒体。
前記監視エージェントは、前記第１の仮想マシンを管理するハイパーバイザの一部である、請求項１４又は請求項１５に記載の有形コンピュータ可読記憶媒体。
前記検出された潜在的セキュリティ事象への最高深刻度レベルの割り当てに応答して、前記命令は、実行されるときに、前記監視エージェントに、
第２の仮想マシンを、前記潜在的セキュリティ事象が検出される前に作成された前記第１の仮想マシンのスナップショットに基づいて、前記コンピューティングデバイスにインスタンス化させることと、
前記第１の仮想マシンの機能性を前記第２の仮想マシンに移動させることと、
前記第１の仮想マシンを終了させることと、を行わせる、請求項１４〜請求項１６の何れか１項に記載の有形コンピュータ可読記憶媒体。
実行されるときに、前記監視エージェントに、
前記第１の仮想マシンに整合性レベルを割り当てることと、
潜在的セキュリティ事象の検出に応答して、前記第１の仮想マシンの前記整合性レベルを引き下げることと、
前記第１の仮想マシンの前記整合性レベルが整合性レベル閾値を下回るときに、前記第１の仮想マシンの前記整合性レベルに基づいて前記セキュリティ措置を開始することと、を行わせる命令を含む、請求項１４〜請求項１７の何れか１項に記載の有形コンピュータ可読記憶媒体。