JP2019004352A - Unauthorized access detection device and method - Google Patents
Unauthorized access detection device and method Download PDFInfo
- Publication number
- JP2019004352A JP2019004352A JP2017118347A JP2017118347A JP2019004352A JP 2019004352 A JP2019004352 A JP 2019004352A JP 2017118347 A JP2017118347 A JP 2017118347A JP 2017118347 A JP2017118347 A JP 2017118347A JP 2019004352 A JP2019004352 A JP 2019004352A
- Authority
- JP
- Japan
- Prior art keywords
- specific information
- unauthorized access
- detected
- response
- monitoring unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
Description
本発明は、設備機器に対する不正機器からの不正アクセスを検知するための不正アクセス検知装置および方法に関する。 The present invention relates to an unauthorized access detection apparatus and method for detecting unauthorized access to an equipment device from an unauthorized device.
従来、ビル建物に設置されている各種設備を管理する設備管理システムとして、BACnet(Building Automation and Control Networking protocol:登録商標)と呼ばれるインテリジェントビル用ネットワークのための通信プロトコル規格を利用した、いわゆるBACnetシステムが普及しつつある。 Conventionally, a so-called BACnet system that uses a communication protocol standard for intelligent building networks called BACnet (Building Automation and Control Networking Protocol: registered trademark) as a facility management system for managing various facilities installed in buildings Is spreading.
このようなBACnetシステムは、元々クローズドな環境に適用されていたため、不正アクセスに関しては、これまであまり重要視されていなかった。しかしながら、近年、IOTや他システムとの連携が進みつつあり、外部からアクセス可能なオープンな環境に変わりつつある。このため、悪意のある者が、不正アクセスしてBACnetシステムに接続できた場合、BACnetシステム内の各種機器が様々に不正操作される可能性があるという問題点があった。 Such a BACnet system was originally applied to a closed environment, and thus, unauthorized access has not been regarded as important so far. However, in recent years, cooperation with IOT and other systems is progressing, and it is changing to an open environment accessible from the outside. For this reason, there has been a problem that various devices in the BACnet system may be illegally operated when a malicious person can connect to the BACnet system through unauthorized access.
本発明は、以上のような問題点を解消するためになされたものであり、外部からの不正アクセスが検知できるようにすることを目的とする。 The present invention has been made to solve the above-described problems, and an object thereof is to detect unauthorized access from the outside.
本発明に係る不正アクセス検知装置は、複数の設備機器が接続されている通信回線を監視して、いずれかの設備機器が対象とする特定情報の通信回線への送出を検知するように構成された監視部と、監視部による特定情報の検知に応じ、監視部が特定情報と共に検知した特定情報の送信元情報で特定される送信元に、特定情報の送信要求を送信する送信部と、送信要求に対する応答を受信するように構成された受信部と、監視部で検知した特定情報に一致する応答が受信されない場合、監視部が検知した特定情報を不正と判断するように構成された判断部とを備える。 An unauthorized access detection device according to the present invention is configured to monitor a communication line to which a plurality of equipment is connected, and detect the transmission of specific information targeted by any equipment to the communication line. A monitoring unit, a transmission unit that transmits a transmission request for specific information to a transmission source specified by the transmission source information of the specific information detected by the monitoring unit together with the specific information in response to detection of the specific information by the monitoring unit, and a transmission A receiving unit configured to receive a response to a request, and a determining unit configured to determine that the specific information detected by the monitoring unit is invalid if a response that matches the specific information detected by the monitoring unit is not received With.
上記不正アクセス検知装置において、判断部は、送信部が送信要求を送信した後、所定の時間内に監視部が検知した特定情報に一致する応答が受信されない場合、監視部が検知した特定情報を不正と判断するようにしてもよい。 In the above unauthorized access detection device, the determination unit, after the transmission unit transmits a transmission request, if a response that matches the specific information detected by the monitoring unit is not received within a predetermined time, the determination unit detects the specific information detected by the monitoring unit. You may make it judge that it is fraudulent.
上記不正アクセス検知装置において、判断部は、監視部で検知した特定情報に、設定されている許容幅の範囲で一致する応答が受信されない場合、監視部が検知した特定情報を不正と判断するようにしてもよい。 In the unauthorized access detection device, the determination unit may determine that the specific information detected by the monitoring unit is illegal if a response that matches the specific information detected by the monitoring unit within a set allowable range is not received. It may be.
上記不正アクセス検知装置において、判断部が、検知した特定情報を不正と判断した後で、監視部が新たに検知した送信元情報で特定される同一の送信元からの特定情報と、受信部が受信した応答とが、一致する場合に判断部による外部からの不正アクセスを検知したものとする判断を取り消す再判断部を更に備えるようにしてもよい。 In the above unauthorized access detection device, after the determination unit determines that the detected specific information is illegal, the monitoring unit newly specifies the specific information from the same transmission source specified by the transmission source information, and the reception unit A re-determination unit that cancels the determination that the unauthorized access from the outside by the determination unit is detected when the received response matches may be further provided.
本発明に係る不正アクセス検知方法は、 複数の設備機器が接続されている通信回線を監視して、通信回線に送出されたいずれかの設備機器が対象とする特定情報を検知する第1ステップと、第1ステップによる特定情報の検知に応じ、第1ステップで特定情報と共に検知した特定情報の送信元情報で特定される送信元に、特定情報の送信要求を送信する第2ステップと、送信要求に対する応答を受信する第3ステップと、第1ステップで検知した特定情報に一致する応答が受信されない場合、第1ステップで検知した特定情報を不正と判断する第4ステップとを備える。 The unauthorized access detection method according to the present invention includes a first step of monitoring a communication line connected to a plurality of equipment and detecting specific information targeted by any equipment sent to the communication line; A second step of transmitting a transmission request for specific information to the transmission source specified by the transmission source information of the specific information detected together with the specific information in the first step in response to detection of the specific information in the first step; And a fourth step of determining that the specific information detected in the first step is illegal when a response matching the specific information detected in the first step is not received.
上記不正アクセス検知方法において、第4ステップでは、第2ステップで送信要求を送信した後、所定の時間内に第1ステップで検知した特定情報に一致する応答が受信されない場合、第1ステップで検知した特定情報を不正と判断する。 In the above-described unauthorized access detection method, in the fourth step, if a response that matches the specific information detected in the first step is not received within a predetermined time after the transmission request is transmitted in the second step, the detection is performed in the first step. The specified information is determined to be illegal.
上記不正アクセス検知方法において、第4ステップでは、第1ステップで検知した特定情報に、設定されている許容幅の範囲で一致する応答が受信されない場合、第1ステップで検知した特定情報を不正と判断するようにしてもよい。 In the unauthorized access detection method, in the fourth step, if the response that matches the specific information detected in the first step is not received within the set allowable range, the specific information detected in the first step is determined to be illegal. You may make it judge.
上記不正アクセス検知方法において、第4ステップで、検知した特定情報を不正と判断した後で、送信元情報で特定される同一の送信元からの新たに検知した特定情報と、第3ステップで受信した応答とが、一致する場合に第4ステップにおける外部からの不正アクセスを検知したものとする判断を取り消す第5ステップを更に備えるようにしてもよい。 In the above unauthorized access detection method, after the detected specific information is determined to be illegal in the fourth step, the newly detected specific information from the same transmission source specified by the transmission source information is received in the third step. If the response matches, the fifth step of canceling the determination that the unauthorized access from the outside is detected in the fourth step may be further provided.
以上説明したように、本発明によれば、通信回線に送出されたいずれかの設備機器が対象とする特定情報を検知すると、この特定情報と共に検知した特定情報の送信元情報で特定される送信元に、特定情報の送信要求を送信するようにしたので、外部からの不正アクセスが検知できるという優れた効果が得られる。 As described above, according to the present invention, when the specific information targeted by any of the equipment transmitted to the communication line is detected, the transmission specified by the transmission source information of the specific information detected together with the specific information Originally, since the transmission request for specific information is transmitted, an excellent effect of detecting unauthorized access from outside can be obtained.
以下、本発明の実施の形態について図を参照して説明する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
[実施の形態1]
はじめに、本発明の実施の形態1における不正アクセス検知装置101について図1を参照して説明する。不正アクセス検知装置101は、通信回線111に接続している。また、通信回線111には、複数の設備機器121が接続されている。
[Embodiment 1]
First, an unauthorized
設備機器121は、例えば、温度センサや風量センサや、空調制御装置などのビル建物における空調システムを構成する機器である。空調システムでは、温度センサ、風量センサなどで測定された各測定値をもとに、冷媒の流量をバルブで制御し、ダンパ操作器で風量を制御する。
The
温度センサ、風量センサなどで測定された各測定値は、例えば、BACnetシステムによる通信回線111により、空調制御装置に送信される。例えば、温度センサには、測定温度の範囲、測定種類、出力種類などが設定されており、設定されている情報をもとに、この設備機器が対象とする特定情報として温度測定値が、通信回線111に送出される。例えば、BACnetシステムでは、「COVNotification」サービスにより、COVサービスメッセージとして温度測定値が送出される。通信回線111に送出された温度測定値は、空調制御装置で受信され、空調の制御に用いられる。
Each measured value measured by a temperature sensor, an air volume sensor, etc. is transmitted to an air-conditioning control apparatus by the
ここで、いずれかの設備機器121になりすました悪意のある者による不正機器131から、誤った(詐称された)温度測定結果(特定情報)が送信されると、空調システムでは、誤った温度測定結果により空調を実施することになる。この結果、利用者にとって、快適な空調制御が実施できないなどの大きな問題となる。不正アクセス検知装置101は、このような不正アクセスによる誤情報を検知する。
Here, if an incorrect (spoofed) temperature measurement result (specific information) is transmitted from an
不正アクセス検知装置101は、監視部102、送信部103、受信部104、判断部105を備える。
The unauthorized
監視部102は、複数の設備機器121が接続されている通信回線111を監視して、いずれかの設備機器121が対象とする特定情報の通信回線111への送出を検知する。例えば、BACnetシステムにおいては、通信回線111に流れるCOVサービスメッセージを、監視部102が検知する。COVサービスメッセージには、送出(送信)元の設備機器121で対象とするオブジェクトのプロパティ(特定情報)が含まれている。
The
送信部103は、監視部102による特定情報の検知に応じ、監視部102が特定情報と共に検知した特定情報の送信元情報で特定される送信元に、特定情報の送信要求を送信する。受信部104は、送信要求に対する応答を受信する。
In response to detection of specific information by the
例えば、BACnetシステムにおいては、検出したCOVサービスメッセージに含まれている送信元のアドレスに対し、「ReadProperty Multiple」サービスで、COVNotificationのオブジェクトのプロパティ情報を確認するメッセージを送信する。この確認要求に対し、送信先の設備機器121は、応答メッセージを通信回線111を介して不正アクセス検知装置101に送信する。応答メッセージは、送信先の設備機器121において対象とするオブジェクトのプロパティ(特定情報)が含まれるものとなる。このため、受信部104は、送信先の設備機器121において対象とするオブジェクトのプロパティ(特定情報)が含まれる応答メッセージを受信することになる。
For example, in the BACnet system, a message for confirming the property information of the object of the COVNotification is transmitted to the transmission source address included in the detected COV service message by the “ReadProperty Multiple” service. In response to this confirmation request, the
判断部105は、監視部102で検知した特定情報に一致する応答が受信されない場合、監視部102が検知した特定情報を不正と判断し、外部からの不正アクセスを検知したものとする。例えば、判断部105は、送信部103が送信要求を送信した後、所定の時間内に監視部102が検知した特定情報に一致する応答が受信されない場合、監視部102が検知した特定情報を不正と判断する。
When the response matching the specific information detected by the
上述したように、受信部104が受信した応答メッセージには、送信先の設備機器121において対象とする特定情報が含まれている。この応答に含まれている特定情報が、監視部102で検知した特定情報に一致すれば、監視部102で検知された特定情報は、正しいものと判断できる。
As described above, the response message received by the receiving
一方、設備機器121になりすました不正機器131から送出された誤った(詐称された)特定情報を監視部102で検知した場合、受信部104で受信した応答メッセージにおける特定情報とは一致しないことになる。送信部103による要求は、不正機器131がなりすました設備機器121に対して送信される。従って、受信部104で受信した応答メッセージは、不正機器131がなりすました設備機器121から送信されたものとなる。ここで、不正機器131から誤った特定情報が通信回線111に送出された場合、この特定情報は、不正機器131がなりすました設備機器121から送出された特定情報とは、異なるものとなる。
On the other hand, when the
以上のことより、受信部104で受信した応答における特定情報が、監視部102で検知した特定情報に一致しない場合、監視部102が検知した特定情報を不正と判断することができる。
As described above, when the specific information in the response received by the receiving
また、不正機器131が、ARPスプーフィングによりアドレスの偽装を行っている場合、送信部103による特定情報の送信要求が、不正機器131に対して送信される可能性がある。しかしながらこの場合、不正機器131は、空調システムにおける正規の設備機器ではなく、例えば、正規のBACnet機器ではない。このため、不正機器131は、要求に対して応答を返すことができない。従って、応答がない場合も含め、判断部105は、監視部102で検知した特定情報に一致する応答が受信されない場合、監視部102が検知した特定情報を不正と判断する。
In addition, when the
ところで、不正機器131が、空調システムで用いるネットワークの通信プロトコルを実装している場合、例えば、BACnet機器としての機能を備えていた場合もある。この場合、「ReadProperty Multiple」サービスで、対象オブジェクト以外にも実際に存在するオブジェクトに対しても情報取得要求を送信し、これに対する返答で、全てのオブジェクトの情報を取得できているか否かを確認し、取得できていない場合は、不正の可能性ありと判断してもよい。
By the way, when the
不正機器が、「ReadProperty」もしくは「ReadProperty Multiple」の返答値を詐称している場合は、返答値が「ReadProperty Multiple」の応答であれば、「ReadProperty Multiple」ではない「ReadProperty」で、個々のオブジェクト(設備機器)に対して全てオブジェクト情報の要求メッセージで確認を行い、返答値が同じ値かどうか比較し、違う値であれば不正の可能性有と判断する。念のため、「ReadProperty Multiple」に含まれていないオブジェクトを含めた形にして要求して確認してもよい。 If the unauthorized device has misrepresented the response value of “ReadProperty” or “ReadProperty Multiple”, if the response value is a response of “ReadProperty Multiple”, the individual object is not “ReadProperty Multiple” but “ReadProperty Multiple”. All the (equipment equipment) are checked with a request message for object information, and the response values are compared to see if they are the same. If they are different, it is determined that there is a possibility of fraud. As a precaution, the request may be confirmed by including an object not included in “ReadProperty Multiple”.
また、不正機器は、BACnet機器ではないので、「ReadProperty Multiple」でしか返答できないので「ReadProperty Multiple」でない「ReadProperty」の場合には、返答ができないので、返答ない場合も不正の可能性ありと判断できる。 In addition, since the unauthorized device is not a BACnet device, it can respond only with “ReadProperty Multiple”. Therefore, if it is “ReadProperty” other than “ReadProperty Multiple”, it cannot be answered. it can.
一方、返答値が「ReadProperty Multiple」ではない「ReadProperty」応答であれば、「ReadProperty Multiple」で「ReadProperty」のオブジェクト情報の要求メッセージで要求を実施し、返答値が同じ値かどうか比較し、違う値であれば不正の可能性有と判断する。 On the other hand, if the response value is a “ReadProperty” response that is not “ReadProperty Multiple”, execute the request with the “ReadProperty” object information request message for “ReadProperty Multiple” and compare the response values to see if they are the same value. If it is a value, it is determined that there is a possibility of fraud.
また、不正機器は、「ReadProperty Multiple」でないメッセージしか返答できないので、「ReadProperty Multiple」の場合は返答できないので、返答ない場合も不正の可能性ありと判断できる。万が一、不正機器が、BACnet機能を備えていた場合を想定し、「ReadProperty Multiple」サービスで、対象オブジェクト以外にも実際に存在するオブジェクトに対しても情報取得要求を送信して、これに対する返答で、全てのオブジェクトの情報を取得できているか確認し、取れていなければ不正の可能性ありと判断する。 In addition, since an unauthorized device can reply only to messages that are not “ReadProperty Multiple”, it cannot be answered in the case of “ReadProperty Multiple”, so it can be determined that there is a possibility of fraud even if no response is made. In the unlikely event that an unauthorized device has a BACnet function, the “ReadProperty Multiple” service sends an information acquisition request to an object that actually exists in addition to the target object. , It is confirmed whether the information of all objects has been acquired. If not, it is determined that there is a possibility of fraud.
次に、実施の形態1における不正アクセス検知装置の動作例(不正アクセス検知方法)について、図2を用いて説明する。 Next, an operation example (unauthorized access detection method) of the unauthorized access detection apparatus in the first embodiment will be described with reference to FIG.
まず、ステップS101で、監視部102が、通信回線111を監視して、通信回線111に特定情報が送出されたか否かを監視する。通信回線111には、複数の設備機器121および不正機器131が接続されている。この監視で、通信回線111に送出されたいずれかの設備機器121が対象とする特定情報を検知する(ステップS101のyes)と(第1ステップ)、ステップS102で、送信部103が、特定情報の送信要求を送信する(第2ステップ)。送信部103は、監視部102が、特定情報と共に検知した特定情報の送信元情報で特定される送信元に、送信要求を送信する。
First, in step S <b> 101, the
次に、ステップS103で、受信部104が、送信要求に対する応答が受信されたか否かを監視する。受信部104が、送信要求に対する応答を受信する(ステップS103のyes)と(第3ステップ)、ステップS104で、判断部105が、受信した応答に含まれている特定情報が、監視部102が検知した特定情報に一致する否かを判断する。受信した応答に含まれている特定情報が、監視部102が検知した特定情報に一致する場合(ステップS104のyes)、終了する。
Next, in step S103, the receiving
一方、受信した応答に含まれている特定情報が、監視部102が検知した特定情報に一致しない場合(ステップS104のno)、ステップS105で、判断部105が、監視部102が検知した特定情報を不正と判断する(第4ステップ)。また、ステップS103における応答の受信が、所定の時間内になされない場合(ステップS106のyes)、やはりステップS105で、判断部105が、監視部102が検知した特定情報を不正と判断する(第4ステップ)。
On the other hand, when the specific information included in the received response does not match the specific information detected by the monitoring unit 102 (no in step S104), the
ところで、判断部105は、送信要求に対する応答が、監視部102で検知した特定情報に設定されている許容幅の範囲で一致する場合、監視部102が検知した特定情報は不正ではないと判断してもよい。例えば、COVサービスメッセージによる特定情報が頻繁に変更される場合、監視部102により特定情報が検知された後、送信要求を出した時点で、特定情報が変更されている場合もある。例えば、設備機器121がアナログ点などの場合、出力されるオブジェクトプロパティの状態値が、所定の範囲で頻繁に変動する。このよう場合、完全一致で判断すると、頻繁に不正との誤判断が発生する。これに対し、許容幅を設定しておき、許容幅の範囲で一致すれば不正ではないと判断すれば、上述した誤判断が抑制できる。
By the way, the
[実施の形態2]
次に、本発明の実施の形態2における不正アクセス検知装置101ついて、図3を参照して説明する。この不正アクセス検知装置101は、前述した実施の形態1と同様に、通信回線111に接続している。また、通信回線111には、複数の設備機器121が接続されている。
[Embodiment 2]
Next, the unauthorized
また、不正アクセス検知装置101は、前述した実施の形態1と同様に、監視部102、送信部103、受信部104、判断部105を備える。
The unauthorized
実施の形態2では、不正アクセス検知装置101が、更に、再判断部106を備える。再判断部106は、判断部105が、検知した特定情報を不正と判断した後で、監視部102が新たに検知した送信元情報で特定される同一の送信元からの特定情報と、受信部104が受信した応答とが、一致するか否かを判断する。この判断で一致した場合、再判断部106は、判断部105による外部からの不正アクセスを検知したものとする判断を取り消す(第5ステップ)。
In the second embodiment, the unauthorized
例えば、COVサービスメッセージによる特定情報が頻繁に変更される場合、監視部102により特定情報が検知された後、送信要求を出した時点で、特定情報が変更されている場合もある。例えば、設備機器121がアナログ点などの場合、出力されるオブジェクトプロパティの状態値が、所定の範囲で頻繁に変動する。このよう場合、頻繁に不正との誤判断が発生する。これに対し、監視部102が新たに検知した特定情報と、受信部104で受信してある応答とが一致した場合、判断部105による不正との判断を取り消すことで、上述した誤判断が抑制できる。
For example, when the specific information by the COV service message is frequently changed, the specific information may be changed when a transmission request is issued after the
なお、上述した実施の形態における不正アクセス検知装置は、図4に示すように、CPU(Central Processing Unit;中央演算処理装置)201と主記憶装置202と外部記憶装置203とネットワーク接続装置204となどを備えたコンピュータ機器であり、主記憶装置に展開されたプログラムによりCPUが動作することで、上述した各機能が実現される。ネットワーク接続装置204は、ネットワーク205に接続する。また、各機能は、複数のコンピュータ機器に分散させるようにしてもよい。
As shown in FIG. 4, the unauthorized access detection device in the above-described embodiment includes a CPU (Central Processing Unit) 201, a
以上に説明したように、本発明によれば、通信回線に送出されたいずれかの設備機器が対象とする特定情報を検知すると、この特定情報と共に検知した特定情報の送信元情報で特定される送信元に、特定情報の送信要求を送信するようにしたので、外部からの不正アクセスが検知できるようになる。 As described above, according to the present invention, when specific information targeted by any of the equipment transmitted to the communication line is detected, the specific information is identified by the source information of the detected specific information together with the specific information. Since a transmission request for specific information is transmitted to the transmission source, unauthorized access from outside can be detected.
なお、本発明は以上に説明した実施の形態に限定されるものではなく、本発明の技術的思想内で、当分野において通常の知識を有する者により、多くの変形および組み合わせが実施可能であることは明白である。 The present invention is not limited to the embodiment described above, and many modifications and combinations can be implemented by those having ordinary knowledge in the art within the technical idea of the present invention. It is obvious.
101…不正アクセス検知装置、102…監視部、103…送信部、104…受信部、105…判断部、111…通信回線、121…設備機器、131…不正機器。
DESCRIPTION OF
Claims (8)
前記監視部による特定情報の検知に応じ、前記監視部が特定情報と共に検知した特定情報の送信元情報で特定される送信元に、特定情報の送信要求を送信する送信部と、
前記送信要求に対する応答を受信するように構成された受信部と、
前記監視部で検知した特定情報に一致する応答が受信されない場合、前記監視部が検知した特定情報を不正と判断するように構成された判断部と
を備えることを特徴とする不正アクセス検知装置。 A monitoring unit configured to monitor a communication line to which a plurality of facility devices are connected and detect transmission of specific information targeted by any of the facility devices to the communication line;
In response to detection of specific information by the monitoring unit, a transmission unit that transmits a transmission request for specific information to a transmission source specified by the transmission source information of the specific information detected by the monitoring unit together with the specific information;
A receiver configured to receive a response to the transmission request;
An unauthorized access detection apparatus comprising: a determination unit configured to determine that the specific information detected by the monitoring unit is illegal when a response that matches the specific information detected by the monitoring unit is not received.
前記判断部は、前記送信部が前記送信要求を送信した後、所定の時間内に前記監視部が検知した特定情報に一致する応答が受信されない場合、前記監視部が検知した特定情報を不正と判断する
ことを特徴とする不正アクセス検知装置。 The unauthorized access detection device according to claim 1,
When the determination unit does not receive a response that matches the specific information detected by the monitoring unit within a predetermined time after the transmission unit transmits the transmission request, the determination unit determines that the specific information detected by the monitoring unit is illegal. An unauthorized access detection device characterized by judging.
前記判断部は、前記監視部で検知した特定情報に、設定されている許容幅の範囲で一致する応答が受信されない場合、前記監視部が検知した特定情報を不正と判断する
ことを特徴とする不正アクセス検知装置。 The unauthorized access detection device according to claim 1 or 2,
The determination unit determines that the specific information detected by the monitoring unit is illegal when a response that matches the specific information detected by the monitoring unit within a set allowable range is not received. Unauthorized access detection device.
前記判断部が、検知した特定情報を不正と判断した後で、前記監視部が新たに検知した送信元情報で特定される同一の送信元からの特定情報と、前記受信部が受信した応答とが、一致する場合に前記判断部による外部からの不正アクセスを検知したものとする判断を取り消す再判断部を更に備えることを特徴とする不正アクセス検知装置。 The unauthorized access detection device according to any one of claims 1 to 3,
After the determination unit determines that the detected specific information is illegal, specific information from the same transmission source specified by the transmission source information newly detected by the monitoring unit, and the response received by the reception unit However, when there is a match, the unauthorized access detection apparatus further includes a re-determination unit that cancels the determination that the unauthorized access from the outside is detected by the determination unit.
前記第1ステップによる特定情報の検知に応じ、前記第1ステップで特定情報と共に検知した特定情報の送信元情報で特定される送信元に、特定情報の送信要求を送信する第2ステップと、
前記送信要求に対する応答を受信する第3ステップと、
前記第1ステップで検知した特定情報に一致する応答が受信されない場合、前記第1ステップで検知した特定情報を不正と判断する第4ステップと
を備えることを特徴とする不正アクセス検知方法。 A first step of monitoring a communication line connected to a plurality of equipment and detecting specific information targeted by any of the equipment sent to the communication line;
A second step of transmitting a specific information transmission request to a transmission source specified by the transmission source information of the specific information detected together with the specific information in the first step in response to detection of the specific information by the first step;
A third step of receiving a response to the transmission request;
An unauthorized access detection method comprising: a fourth step of determining that the specific information detected in the first step is illegal when a response matching the specific information detected in the first step is not received.
前記第4ステップでは、前記第2ステップで前記送信要求を送信した後、所定の時間内に前記第1ステップで検知した特定情報に一致する応答が受信されない場合、前記第1ステップで検知した特定情報を不正と判断する
ことを特徴とする不正アクセス検知方法。 The unauthorized access detection method according to claim 5.
In the fourth step, if the response matching the specific information detected in the first step is not received within a predetermined time after the transmission request is transmitted in the second step, the specific detected in the first step An unauthorized access detection method characterized in that information is judged to be unauthorized.
前記第4ステップでは、前記第1ステップで検知した特定情報に、設定されている許容幅の範囲で一致する応答が受信されない場合、前記第1ステップで検知した特定情報を不正と判断する
ことを特徴とする不正アクセス検知方法。 The unauthorized access detection method according to claim 5 or 6,
In the fourth step, if a response that matches the specific information detected in the first step within the set allowable range is not received, the specific information detected in the first step is determined to be illegal. A feature of the method of detecting unauthorized access.
前記第4ステップで、検知した特定情報を不正と判断した後で、送信元情報で特定される同一の送信元からの新たに検知した特定情報と、前記第3ステップで受信した応答とが、一致する場合に前記第4ステップにおける外部からの不正アクセスを検知したものとする判断を取り消す第5ステップを更に備えることを特徴とする不正アクセス検知方法。 In the unauthorized access detection method according to any one of claims 5 to 7,
After determining that the detected specific information is illegal in the fourth step, the newly detected specific information from the same transmission source specified by the transmission source information and the response received in the third step are: An unauthorized access detection method, further comprising a fifth step of canceling the determination that unauthorized access from the outside in the fourth step is detected when they match.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017118347A JP2019004352A (en) | 2017-06-16 | 2017-06-16 | Unauthorized access detection device and method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017118347A JP2019004352A (en) | 2017-06-16 | 2017-06-16 | Unauthorized access detection device and method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2019004352A true JP2019004352A (en) | 2019-01-10 |
Family
ID=65006136
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017118347A Pending JP2019004352A (en) | 2017-06-16 | 2017-06-16 | Unauthorized access detection device and method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2019004352A (en) |
-
2017
- 2017-06-16 JP JP2017118347A patent/JP2019004352A/en active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5390798B2 (en) | Method and apparatus for early warning of network equipment | |
US20180183816A1 (en) | Relay apparatus, network monitoring system, and program | |
EP2767057B1 (en) | Process installation network intrusion detection and prevention | |
CN111295865B (en) | Obtaining local area network diagnostic test results | |
GB2532630A (en) | Network intrusion alarm method and system for nuclear power station | |
JP6117050B2 (en) | Network controller | |
JP6127866B2 (en) | COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL METHOD, AND COMMUNICATION CONTROL PROGRAM | |
JP2019004352A (en) | Unauthorized access detection device and method | |
JP6028839B1 (en) | COMMUNICATION DEVICE, COMMUNICATION PROCESSING METHOD, PROGRAM | |
KR101429178B1 (en) | System and method of wireless network security | |
JP2020053928A (en) | Unauthorized access monitoring device and method | |
KR102295589B1 (en) | Fire detection system | |
JP2009005122A (en) | Illegal access detection apparatus, and security management device and illegal access detection system using the device | |
AU2019277439B2 (en) | Abnormality detection apparatus, abnormality detection method, and abnormality detection program | |
JP6835526B2 (en) | Unauthorized access monitoring device and method | |
CN105827427B (en) | Information processing method and electronic equipment | |
CN114710308B (en) | Method and system for controlling network equipment access | |
US20230216873A1 (en) | Detection system, detection method, and recording medium | |
JP6568495B2 (en) | Unauthorized access prevention apparatus and method | |
US20220277061A1 (en) | Method for providing iot devices access to restricted access information | |
JP2021072586A (en) | Unauthorized connection detection device, unauthorized connection detection system, and unauthorized connection detection method | |
Zhang et al. | Research on redundant channel model based on spatial correlation in IOT | |
KR101607261B1 (en) | Method for controlling client access to public IP group using cookie | |
KR20150146147A (en) | Home network security service | |
KR20210039299A (en) | Fraud detection device and fraud detection method |