JP2019004352A - Unauthorized access detection device and method - Google Patents

Unauthorized access detection device and method Download PDF

Info

Publication number
JP2019004352A
JP2019004352A JP2017118347A JP2017118347A JP2019004352A JP 2019004352 A JP2019004352 A JP 2019004352A JP 2017118347 A JP2017118347 A JP 2017118347A JP 2017118347 A JP2017118347 A JP 2017118347A JP 2019004352 A JP2019004352 A JP 2019004352A
Authority
JP
Japan
Prior art keywords
specific information
unauthorized access
detected
response
monitoring unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2017118347A
Other languages
Japanese (ja)
Inventor
貴彦 太田
Takahiko Ota
貴彦 太田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Azbil Corp
Original Assignee
Azbil Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Azbil Corp filed Critical Azbil Corp
Priority to JP2017118347A priority Critical patent/JP2019004352A/en
Publication of JP2019004352A publication Critical patent/JP2019004352A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

To make it possible to detect unauthorized access from the outside.SOLUTION: When a monitoring unit 102 detects specific information targeted by any of facility apparatuses 121 transmitted to a communication line 111, a transmission unit 103 transmits a transmission request for the specific information to a transmission source identified by transmission source information on the specific information detected together with the specific information. A determination unit 105 determines that the specific information detected by the monitoring unit 102 is unauthorized if a response corresponding to the specific information detected by the monitoring unit 102 is not received.SELECTED DRAWING: Figure 1

Description

本発明は、設備機器に対する不正機器からの不正アクセスを検知するための不正アクセス検知装置および方法に関する。   The present invention relates to an unauthorized access detection apparatus and method for detecting unauthorized access to an equipment device from an unauthorized device.

従来、ビル建物に設置されている各種設備を管理する設備管理システムとして、BACnet(Building Automation and Control Networking protocol:登録商標)と呼ばれるインテリジェントビル用ネットワークのための通信プロトコル規格を利用した、いわゆるBACnetシステムが普及しつつある。   Conventionally, a so-called BACnet system that uses a communication protocol standard for intelligent building networks called BACnet (Building Automation and Control Networking Protocol: registered trademark) as a facility management system for managing various facilities installed in buildings Is spreading.

特開2007−199798号公報JP 2007-199798 A

このようなBACnetシステムは、元々クローズドな環境に適用されていたため、不正アクセスに関しては、これまであまり重要視されていなかった。しかしながら、近年、IOTや他システムとの連携が進みつつあり、外部からアクセス可能なオープンな環境に変わりつつある。このため、悪意のある者が、不正アクセスしてBACnetシステムに接続できた場合、BACnetシステム内の各種機器が様々に不正操作される可能性があるという問題点があった。   Such a BACnet system was originally applied to a closed environment, and thus, unauthorized access has not been regarded as important so far. However, in recent years, cooperation with IOT and other systems is progressing, and it is changing to an open environment accessible from the outside. For this reason, there has been a problem that various devices in the BACnet system may be illegally operated when a malicious person can connect to the BACnet system through unauthorized access.

本発明は、以上のような問題点を解消するためになされたものであり、外部からの不正アクセスが検知できるようにすることを目的とする。   The present invention has been made to solve the above-described problems, and an object thereof is to detect unauthorized access from the outside.

本発明に係る不正アクセス検知装置は、複数の設備機器が接続されている通信回線を監視して、いずれかの設備機器が対象とする特定情報の通信回線への送出を検知するように構成された監視部と、監視部による特定情報の検知に応じ、監視部が特定情報と共に検知した特定情報の送信元情報で特定される送信元に、特定情報の送信要求を送信する送信部と、送信要求に対する応答を受信するように構成された受信部と、監視部で検知した特定情報に一致する応答が受信されない場合、監視部が検知した特定情報を不正と判断するように構成された判断部とを備える。   An unauthorized access detection device according to the present invention is configured to monitor a communication line to which a plurality of equipment is connected, and detect the transmission of specific information targeted by any equipment to the communication line. A monitoring unit, a transmission unit that transmits a transmission request for specific information to a transmission source specified by the transmission source information of the specific information detected by the monitoring unit together with the specific information in response to detection of the specific information by the monitoring unit, and a transmission A receiving unit configured to receive a response to a request, and a determining unit configured to determine that the specific information detected by the monitoring unit is invalid if a response that matches the specific information detected by the monitoring unit is not received With.

上記不正アクセス検知装置において、判断部は、送信部が送信要求を送信した後、所定の時間内に監視部が検知した特定情報に一致する応答が受信されない場合、監視部が検知した特定情報を不正と判断するようにしてもよい。   In the above unauthorized access detection device, the determination unit, after the transmission unit transmits a transmission request, if a response that matches the specific information detected by the monitoring unit is not received within a predetermined time, the determination unit detects the specific information detected by the monitoring unit. You may make it judge that it is fraudulent.

上記不正アクセス検知装置において、判断部は、監視部で検知した特定情報に、設定されている許容幅の範囲で一致する応答が受信されない場合、監視部が検知した特定情報を不正と判断するようにしてもよい。   In the unauthorized access detection device, the determination unit may determine that the specific information detected by the monitoring unit is illegal if a response that matches the specific information detected by the monitoring unit within a set allowable range is not received. It may be.

上記不正アクセス検知装置において、判断部が、検知した特定情報を不正と判断した後で、監視部が新たに検知した送信元情報で特定される同一の送信元からの特定情報と、受信部が受信した応答とが、一致する場合に判断部による外部からの不正アクセスを検知したものとする判断を取り消す再判断部を更に備えるようにしてもよい。   In the above unauthorized access detection device, after the determination unit determines that the detected specific information is illegal, the monitoring unit newly specifies the specific information from the same transmission source specified by the transmission source information, and the reception unit A re-determination unit that cancels the determination that the unauthorized access from the outside by the determination unit is detected when the received response matches may be further provided.

本発明に係る不正アクセス検知方法は、 複数の設備機器が接続されている通信回線を監視して、通信回線に送出されたいずれかの設備機器が対象とする特定情報を検知する第1ステップと、第1ステップによる特定情報の検知に応じ、第1ステップで特定情報と共に検知した特定情報の送信元情報で特定される送信元に、特定情報の送信要求を送信する第2ステップと、送信要求に対する応答を受信する第3ステップと、第1ステップで検知した特定情報に一致する応答が受信されない場合、第1ステップで検知した特定情報を不正と判断する第4ステップとを備える。   The unauthorized access detection method according to the present invention includes a first step of monitoring a communication line connected to a plurality of equipment and detecting specific information targeted by any equipment sent to the communication line; A second step of transmitting a transmission request for specific information to the transmission source specified by the transmission source information of the specific information detected together with the specific information in the first step in response to detection of the specific information in the first step; And a fourth step of determining that the specific information detected in the first step is illegal when a response matching the specific information detected in the first step is not received.

上記不正アクセス検知方法において、第4ステップでは、第2ステップで送信要求を送信した後、所定の時間内に第1ステップで検知した特定情報に一致する応答が受信されない場合、第1ステップで検知した特定情報を不正と判断する。   In the above-described unauthorized access detection method, in the fourth step, if a response that matches the specific information detected in the first step is not received within a predetermined time after the transmission request is transmitted in the second step, the detection is performed in the first step. The specified information is determined to be illegal.

上記不正アクセス検知方法において、第4ステップでは、第1ステップで検知した特定情報に、設定されている許容幅の範囲で一致する応答が受信されない場合、第1ステップで検知した特定情報を不正と判断するようにしてもよい。   In the unauthorized access detection method, in the fourth step, if the response that matches the specific information detected in the first step is not received within the set allowable range, the specific information detected in the first step is determined to be illegal. You may make it judge.

上記不正アクセス検知方法において、第4ステップで、検知した特定情報を不正と判断した後で、送信元情報で特定される同一の送信元からの新たに検知した特定情報と、第3ステップで受信した応答とが、一致する場合に第4ステップにおける外部からの不正アクセスを検知したものとする判断を取り消す第5ステップを更に備えるようにしてもよい。   In the above unauthorized access detection method, after the detected specific information is determined to be illegal in the fourth step, the newly detected specific information from the same transmission source specified by the transmission source information is received in the third step. If the response matches, the fifth step of canceling the determination that the unauthorized access from the outside is detected in the fourth step may be further provided.

以上説明したように、本発明によれば、通信回線に送出されたいずれかの設備機器が対象とする特定情報を検知すると、この特定情報と共に検知した特定情報の送信元情報で特定される送信元に、特定情報の送信要求を送信するようにしたので、外部からの不正アクセスが検知できるという優れた効果が得られる。   As described above, according to the present invention, when the specific information targeted by any of the equipment transmitted to the communication line is detected, the transmission specified by the transmission source information of the specific information detected together with the specific information Originally, since the transmission request for specific information is transmitted, an excellent effect of detecting unauthorized access from outside can be obtained.

図1は、本発明の実施の形態1における不正アクセス検知装置の構成を示す構成図である。FIG. 1 is a configuration diagram showing a configuration of an unauthorized access detection device according to Embodiment 1 of the present invention. 図2は、本発明の実施の形態1における不正アクセス検知方法を説明するためのフローチャートである。FIG. 2 is a flowchart for explaining the unauthorized access detection method according to the first embodiment of the present invention. 図3は、本発明の実施の形態2における不正アクセス検知装置の構成を示す構成図である。FIG. 3 is a configuration diagram showing the configuration of the unauthorized access detection device according to the second embodiment of the present invention. 図4は、本発明における設備管理支援システムのハードウエア構成を示す構成図である。FIG. 4 is a block diagram showing the hardware configuration of the facility management support system according to the present invention.

以下、本発明の実施の形態について図を参照して説明する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings.

[実施の形態1]
はじめに、本発明の実施の形態1における不正アクセス検知装置101について図1を参照して説明する。不正アクセス検知装置101は、通信回線111に接続している。また、通信回線111には、複数の設備機器121が接続されている。 [Embodiment 1]
First, an unauthorized access detection apparatus 101 according to Embodiment 1 of the present invention will be described with reference to FIG. The unauthorized access detection device 101 is connected to the communication line 111. A plurality of facility devices 121 are connected to the communication line 111.

設備機器121は、例えば、温度センサや風量センサや、空調制御装置などのビル建物における空調システムを構成する機器である。空調システムでは、温度センサ、風量センサなどで測定された各測定値をもとに、冷媒の流量をバルブで制御し、ダンパ操作器で風量を制御する。   The equipment 121 is a device that constitutes an air conditioning system in a building such as a temperature sensor, an air flow sensor, and an air conditioning control device. In the air conditioning system, the flow rate of the refrigerant is controlled by a valve based on each measurement value measured by a temperature sensor, an air volume sensor, and the like, and the air volume is controlled by a damper operating device.

温度センサ、風量センサなどで測定された各測定値は、例えば、BACnetシステムによる通信回線111により、空調制御装置に送信される。例えば、温度センサには、測定温度の範囲、測定種類、出力種類などが設定されており、設定されている情報をもとに、この設備機器が対象とする特定情報として温度測定値が、通信回線111に送出される。例えば、BACnetシステムでは、「COVNotification」サービスにより、COVサービスメッセージとして温度測定値が送出される。通信回線111に送出された温度測定値は、空調制御装置で受信され、空調の制御に用いられる。   Each measured value measured by a temperature sensor, an air volume sensor, etc. is transmitted to an air-conditioning control apparatus by the communication line 111 by a BACnet system, for example. For example, the temperature sensor has a measurement temperature range, measurement type, output type, etc., and based on the set information, the temperature measurement value is transmitted as specific information targeted by this equipment. It is sent to the line 111. For example, in the BACnet system, a temperature measurement value is transmitted as a COV service message by a “COVNotification” service. The temperature measurement value sent to the communication line 111 is received by the air conditioning control device and used for air conditioning control.

ここで、いずれかの設備機器121になりすました悪意のある者による不正機器131から、誤った(詐称された)温度測定結果(特定情報)が送信されると、空調システムでは、誤った温度測定結果により空調を実施することになる。この結果、利用者にとって、快適な空調制御が実施できないなどの大きな問題となる。不正アクセス検知装置101は、このような不正アクセスによる誤情報を検知する。   Here, if an incorrect (spoofed) temperature measurement result (specific information) is transmitted from an unauthorized device 131 by a malicious person pretending to be any one of the facility devices 121, the air conditioning system causes an incorrect temperature measurement. Air conditioning will be implemented depending on the result. As a result, there arises a big problem that the user cannot perform comfortable air conditioning control. The unauthorized access detection device 101 detects erroneous information due to such unauthorized access.

不正アクセス検知装置101は、監視部102、送信部103、受信部104、判断部105を備える。   The unauthorized access detection apparatus 101 includes a monitoring unit 102, a transmission unit 103, a reception unit 104, and a determination unit 105.

監視部102は、複数の設備機器121が接続されている通信回線111を監視して、いずれかの設備機器121が対象とする特定情報の通信回線111への送出を検知する。例えば、BACnetシステムにおいては、通信回線111に流れるCOVサービスメッセージを、監視部102が検知する。COVサービスメッセージには、送出(送信)元の設備機器121で対象とするオブジェクトのプロパティ(特定情報)が含まれている。   The monitoring unit 102 monitors the communication line 111 to which a plurality of facility devices 121 are connected, and detects the transmission of specific information targeted by any of the facility devices 121 to the communication line 111. For example, in the BACnet system, the monitoring unit 102 detects a COV service message flowing through the communication line 111. The COV service message includes the property (specific information) of the object targeted by the equipment device 121 that is the source of transmission (transmission).

送信部103は、監視部102による特定情報の検知に応じ、監視部102が特定情報と共に検知した特定情報の送信元情報で特定される送信元に、特定情報の送信要求を送信する。受信部104は、送信要求に対する応答を受信する。   In response to detection of specific information by the monitoring unit 102, the transmission unit 103 transmits a transmission request for specific information to the transmission source specified by the transmission source information of the specific information detected by the monitoring unit 102 together with the specific information. The receiving unit 104 receives a response to the transmission request.

例えば、BACnetシステムにおいては、検出したCOVサービスメッセージに含まれている送信元のアドレスに対し、「ReadProperty Multiple」サービスで、COVNotificationのオブジェクトのプロパティ情報を確認するメッセージを送信する。この確認要求に対し、送信先の設備機器121は、応答メッセージを通信回線111を介して不正アクセス検知装置101に送信する。応答メッセージは、送信先の設備機器121において対象とするオブジェクトのプロパティ(特定情報)が含まれるものとなる。このため、受信部104は、送信先の設備機器121において対象とするオブジェクトのプロパティ(特定情報)が含まれる応答メッセージを受信することになる。   For example, in the BACnet system, a message for confirming the property information of the object of the COVNotification is transmitted to the transmission source address included in the detected COV service message by the “ReadProperty Multiple” service. In response to this confirmation request, the destination equipment 121 transmits a response message to the unauthorized access detection apparatus 101 via the communication line 111. The response message includes the property (specific information) of the target object in the destination equipment 121. For this reason, the receiving unit 104 receives a response message including the property (specific information) of the target object in the destination equipment 121.

判断部105は、監視部102で検知した特定情報に一致する応答が受信されない場合、監視部102が検知した特定情報を不正と判断し、外部からの不正アクセスを検知したものとする。例えば、判断部105は、送信部103が送信要求を送信した後、所定の時間内に監視部102が検知した特定情報に一致する応答が受信されない場合、監視部102が検知した特定情報を不正と判断する。   When the response matching the specific information detected by the monitoring unit 102 is not received, the determination unit 105 determines that the specific information detected by the monitoring unit 102 is illegal and detects unauthorized access from the outside. For example, if the response matching the specific information detected by the monitoring unit 102 is not received within a predetermined time after the transmission unit 103 transmits a transmission request, the determination unit 105 illegally identifies the specific information detected by the monitoring unit 102. Judge.

上述したように、受信部104が受信した応答メッセージには、送信先の設備機器121において対象とする特定情報が含まれている。この応答に含まれている特定情報が、監視部102で検知した特定情報に一致すれば、監視部102で検知された特定情報は、正しいものと判断できる。   As described above, the response message received by the receiving unit 104 includes specific information targeted in the destination equipment 121. If the specific information included in this response matches the specific information detected by the monitoring unit 102, it can be determined that the specific information detected by the monitoring unit 102 is correct.

一方、設備機器121になりすました不正機器131から送出された誤った(詐称された)特定情報を監視部102で検知した場合、受信部104で受信した応答メッセージにおける特定情報とは一致しないことになる。送信部103による要求は、不正機器131がなりすました設備機器121に対して送信される。従って、受信部104で受信した応答メッセージは、不正機器131がなりすました設備機器121から送信されたものとなる。ここで、不正機器131から誤った特定情報が通信回線111に送出された場合、この特定情報は、不正機器131がなりすました設備機器121から送出された特定情報とは、異なるものとなる。   On the other hand, when the monitoring unit 102 detects erroneous (spoofed) specific information transmitted from the unauthorized device 131 impersonating the equipment device 121, it does not match the specific information in the response message received by the receiving unit 104. Become. The request by the transmission unit 103 is transmitted to the equipment device 121 impersonated by the unauthorized device 131. Therefore, the response message received by the receiving unit 104 is transmitted from the equipment 121 impersonating the unauthorized device 131. Here, when incorrect specific information is sent from the unauthorized device 131 to the communication line 111, this specified information is different from the specified information sent from the facility device 121 pretending to be the unauthorized device 131.

以上のことより、受信部104で受信した応答における特定情報が、監視部102で検知した特定情報に一致しない場合、監視部102が検知した特定情報を不正と判断することができる。   As described above, when the specific information in the response received by the receiving unit 104 does not match the specific information detected by the monitoring unit 102, the specific information detected by the monitoring unit 102 can be determined to be illegal.

また、不正機器131が、ARPスプーフィングによりアドレスの偽装を行っている場合、送信部103による特定情報の送信要求が、不正機器131に対して送信される可能性がある。しかしながらこの場合、不正機器131は、空調システムにおける正規の設備機器ではなく、例えば、正規のBACnet機器ではない。このため、不正機器131は、要求に対して応答を返すことができない。従って、応答がない場合も含め、判断部105は、監視部102で検知した特定情報に一致する応答が受信されない場合、監視部102が検知した特定情報を不正と判断する。   In addition, when the unauthorized device 131 performs address spoofing by ARP spoofing, there is a possibility that a transmission request for specific information by the transmission unit 103 is transmitted to the unauthorized device 131. However, in this case, the unauthorized device 131 is not a regular facility device in the air conditioning system, and is not a regular BACnet device, for example. For this reason, the unauthorized device 131 cannot return a response to the request. Therefore, even when there is no response, the determination unit 105 determines that the specific information detected by the monitoring unit 102 is illegal when a response that matches the specific information detected by the monitoring unit 102 is not received.

ところで、不正機器131が、空調システムで用いるネットワークの通信プロトコルを実装している場合、例えば、BACnet機器としての機能を備えていた場合もある。この場合、「ReadProperty Multiple」サービスで、対象オブジェクト以外にも実際に存在するオブジェクトに対しても情報取得要求を送信し、これに対する返答で、全てのオブジェクトの情報を取得できているか否かを確認し、取得できていない場合は、不正の可能性ありと判断してもよい。   By the way, when the unauthorized device 131 implements a network communication protocol used in the air conditioning system, for example, the unauthorized device 131 may have a function as a BACnet device. In this case, the "ReadProperty Multiple" service sends an information acquisition request to objects that actually exist in addition to the target object, and confirms whether or not the information of all objects has been acquired in response to this request However, if it is not acquired, it may be determined that there is a possibility of fraud.

不正機器が、「ReadProperty」もしくは「ReadProperty Multiple」の返答値を詐称している場合は、返答値が「ReadProperty Multiple」の応答であれば、「ReadProperty Multiple」ではない「ReadProperty」で、個々のオブジェクト(設備機器)に対して全てオブジェクト情報の要求メッセージで確認を行い、返答値が同じ値かどうか比較し、違う値であれば不正の可能性有と判断する。念のため、「ReadProperty Multiple」に含まれていないオブジェクトを含めた形にして要求して確認してもよい。   If the unauthorized device has misrepresented the response value of “ReadProperty” or “ReadProperty Multiple”, if the response value is a response of “ReadProperty Multiple”, the individual object is not “ReadProperty Multiple” but “ReadProperty Multiple”. All the (equipment equipment) are checked with a request message for object information, and the response values are compared to see if they are the same. If they are different, it is determined that there is a possibility of fraud. As a precaution, the request may be confirmed by including an object not included in “ReadProperty Multiple”.

また、不正機器は、BACnet機器ではないので、「ReadProperty Multiple」でしか返答できないので「ReadProperty Multiple」でない「ReadProperty」の場合には、返答ができないので、返答ない場合も不正の可能性ありと判断できる。   In addition, since the unauthorized device is not a BACnet device, it can respond only with “ReadProperty Multiple”. Therefore, if it is “ReadProperty” other than “ReadProperty Multiple”, it cannot be answered. it can.

一方、返答値が「ReadProperty Multiple」ではない「ReadProperty」応答であれば、「ReadProperty Multiple」で「ReadProperty」のオブジェクト情報の要求メッセージで要求を実施し、返答値が同じ値かどうか比較し、違う値であれば不正の可能性有と判断する。   On the other hand, if the response value is a “ReadProperty” response that is not “ReadProperty Multiple”, execute the request with the “ReadProperty” object information request message for “ReadProperty Multiple” and compare the response values to see if they are the same value. If it is a value, it is determined that there is a possibility of fraud.

また、不正機器は、「ReadProperty Multiple」でないメッセージしか返答できないので、「ReadProperty Multiple」の場合は返答できないので、返答ない場合も不正の可能性ありと判断できる。万が一、不正機器が、BACnet機能を備えていた場合を想定し、「ReadProperty Multiple」サービスで、対象オブジェクト以外にも実際に存在するオブジェクトに対しても情報取得要求を送信して、これに対する返答で、全てのオブジェクトの情報を取得できているか確認し、取れていなければ不正の可能性ありと判断する。   In addition, since an unauthorized device can reply only to messages that are not “ReadProperty Multiple”, it cannot be answered in the case of “ReadProperty Multiple”, so it can be determined that there is a possibility of fraud even if no response is made. In the unlikely event that an unauthorized device has a BACnet function, the “ReadProperty Multiple” service sends an information acquisition request to an object that actually exists in addition to the target object. , It is confirmed whether the information of all objects has been acquired. If not, it is determined that there is a possibility of fraud.

次に、実施の形態1における不正アクセス検知装置の動作例(不正アクセス検知方法)について、図2を用いて説明する。   Next, an operation example (unauthorized access detection method) of the unauthorized access detection apparatus in the first embodiment will be described with reference to FIG.

まず、ステップS101で、監視部102が、通信回線111を監視して、通信回線111に特定情報が送出されたか否かを監視する。通信回線111には、複数の設備機器121および不正機器131が接続されている。この監視で、通信回線111に送出されたいずれかの設備機器121が対象とする特定情報を検知する(ステップS101のyes)と(第1ステップ)、ステップS102で、送信部103が、特定情報の送信要求を送信する(第2ステップ)。送信部103は、監視部102が、特定情報と共に検知した特定情報の送信元情報で特定される送信元に、送信要求を送信する。   First, in step S <b> 101, the monitoring unit 102 monitors the communication line 111 to monitor whether specific information has been sent to the communication line 111. A plurality of equipment devices 121 and unauthorized devices 131 are connected to the communication line 111. In this monitoring, when the specific information targeted by any of the equipment devices 121 sent to the communication line 111 is detected (yes in step S101) (first step), in step S102, the transmission unit 103 specifies the specific information. Is sent (second step). The transmission unit 103 transmits a transmission request to the transmission source specified by the transmission source information of the specific information detected by the monitoring unit 102 together with the specific information.

次に、ステップS103で、受信部104が、送信要求に対する応答が受信されたか否かを監視する。受信部104が、送信要求に対する応答を受信する(ステップS103のyes)と(第3ステップ)、ステップS104で、判断部105が、受信した応答に含まれている特定情報が、監視部102が検知した特定情報に一致する否かを判断する。受信した応答に含まれている特定情報が、監視部102が検知した特定情報に一致する場合(ステップS104のyes)、終了する。   Next, in step S103, the receiving unit 104 monitors whether a response to the transmission request has been received. When the receiving unit 104 receives a response to the transmission request (yes in step S103) (third step), in step S104, the determining unit 105 determines that the specific information included in the received response is displayed by the monitoring unit 102. It is determined whether or not it matches the detected specific information. If the specific information included in the received response matches the specific information detected by the monitoring unit 102 (yes in step S104), the process ends.

一方、受信した応答に含まれている特定情報が、監視部102が検知した特定情報に一致しない場合(ステップS104のno)、ステップS105で、判断部105が、監視部102が検知した特定情報を不正と判断する(第4ステップ)。また、ステップS103における応答の受信が、所定の時間内になされない場合(ステップS106のyes)、やはりステップS105で、判断部105が、監視部102が検知した特定情報を不正と判断する(第4ステップ)。   On the other hand, when the specific information included in the received response does not match the specific information detected by the monitoring unit 102 (no in step S104), the determination unit 105 determines that the specific information detected by the monitoring unit 102 in step S105. Is determined to be illegal (fourth step). If the response is not received within the predetermined time in Step S103 (Yes in Step S106), the determination unit 105 determines that the specific information detected by the monitoring unit 102 is illegal (Step S105). 4 steps).

ところで、判断部105は、送信要求に対する応答が、監視部102で検知した特定情報に設定されている許容幅の範囲で一致する場合、監視部102が検知した特定情報は不正ではないと判断してもよい。例えば、COVサービスメッセージによる特定情報が頻繁に変更される場合、監視部102により特定情報が検知された後、送信要求を出した時点で、特定情報が変更されている場合もある。例えば、設備機器121がアナログ点などの場合、出力されるオブジェクトプロパティの状態値が、所定の範囲で頻繁に変動する。このよう場合、完全一致で判断すると、頻繁に不正との誤判断が発生する。これに対し、許容幅を設定しておき、許容幅の範囲で一致すれば不正ではないと判断すれば、上述した誤判断が抑制できる。   By the way, the determination unit 105 determines that the specific information detected by the monitoring unit 102 is not illegal when the response to the transmission request matches within the allowable range set in the specific information detected by the monitoring unit 102. May be. For example, when the specific information by the COV service message is frequently changed, the specific information may be changed when a transmission request is issued after the monitoring unit 102 detects the specific information. For example, when the equipment 121 is an analog point or the like, the state value of the output object property frequently fluctuates within a predetermined range. In such a case, if a decision is made based on a perfect match, frequent misjudgment of fraud often occurs. On the other hand, if the permissible width is set and it is determined that it is not illegal if they match within the permissible width range, the above-described erroneous determination can be suppressed.

[実施の形態2]
次に、本発明の実施の形態2における不正アクセス検知装置101ついて、図3を参照して説明する。この不正アクセス検知装置101は、前述した実施の形態1と同様に、通信回線111に接続している。また、通信回線111には、複数の設備機器121が接続されている。 [Embodiment 2]
Next, the unauthorized access detection apparatus 101 according to the second embodiment of the present invention will be described with reference to FIG. This unauthorized access detection apparatus 101 is connected to the communication line 111 as in the first embodiment. A plurality of facility devices 121 are connected to the communication line 111.

また、不正アクセス検知装置101は、前述した実施の形態1と同様に、監視部102、送信部103、受信部104、判断部105を備える。   The unauthorized access detection apparatus 101 includes a monitoring unit 102, a transmission unit 103, a reception unit 104, and a determination unit 105, as in the first embodiment.

実施の形態2では、不正アクセス検知装置101が、更に、再判断部106を備える。再判断部106は、判断部105が、検知した特定情報を不正と判断した後で、監視部102が新たに検知した送信元情報で特定される同一の送信元からの特定情報と、受信部104が受信した応答とが、一致するか否かを判断する。この判断で一致した場合、再判断部106は、判断部105による外部からの不正アクセスを検知したものとする判断を取り消す(第5ステップ)。   In the second embodiment, the unauthorized access detection apparatus 101 further includes a re-determination unit 106. After the determination unit 105 determines that the detected specific information is illegal, the re-determination unit 106 specifies the specific information from the same transmission source specified by the transmission source information newly detected by the monitoring unit 102, and the reception unit It is determined whether or not the response received by 104 matches. If the determinations match, the re-determination unit 106 cancels the determination that the unauthorized access from the outside by the determination unit 105 has been detected (fifth step).

例えば、COVサービスメッセージによる特定情報が頻繁に変更される場合、監視部102により特定情報が検知された後、送信要求を出した時点で、特定情報が変更されている場合もある。例えば、設備機器121がアナログ点などの場合、出力されるオブジェクトプロパティの状態値が、所定の範囲で頻繁に変動する。このよう場合、頻繁に不正との誤判断が発生する。これに対し、監視部102が新たに検知した特定情報と、受信部104で受信してある応答とが一致した場合、判断部105による不正との判断を取り消すことで、上述した誤判断が抑制できる。   For example, when the specific information by the COV service message is frequently changed, the specific information may be changed when a transmission request is issued after the monitoring unit 102 detects the specific information. For example, when the equipment 121 is an analog point or the like, the state value of the output object property frequently fluctuates within a predetermined range. In such a case, misjudgment of fraud frequently occurs. On the other hand, when the specific information newly detected by the monitoring unit 102 matches the response received by the receiving unit 104, the determination by the determining unit 105 is canceled to suppress the above-described erroneous determination. it can.

なお、上述した実施の形態における不正アクセス検知装置は、図4に示すように、CPU(Central Processing Unit;中央演算処理装置)201と主記憶装置202と外部記憶装置203とネットワーク接続装置204となどを備えたコンピュータ機器であり、主記憶装置に展開されたプログラムによりCPUが動作することで、上述した各機能が実現される。ネットワーク接続装置204は、ネットワーク205に接続する。また、各機能は、複数のコンピュータ機器に分散させるようにしてもよい。   As shown in FIG. 4, the unauthorized access detection device in the above-described embodiment includes a CPU (Central Processing Unit) 201, a main storage device 202, an external storage device 203, a network connection device 204, and the like. The above-described functions are realized by the CPU operating by a program developed in the main storage device. The network connection device 204 is connected to the network 205. Each function may be distributed among a plurality of computer devices.

以上に説明したように、本発明によれば、通信回線に送出されたいずれかの設備機器が対象とする特定情報を検知すると、この特定情報と共に検知した特定情報の送信元情報で特定される送信元に、特定情報の送信要求を送信するようにしたので、外部からの不正アクセスが検知できるようになる。   As described above, according to the present invention, when specific information targeted by any of the equipment transmitted to the communication line is detected, the specific information is identified by the source information of the detected specific information together with the specific information. Since a transmission request for specific information is transmitted to the transmission source, unauthorized access from outside can be detected.

なお、本発明は以上に説明した実施の形態に限定されるものではなく、本発明の技術的思想内で、当分野において通常の知識を有する者により、多くの変形および組み合わせが実施可能であることは明白である。   The present invention is not limited to the embodiment described above, and many modifications and combinations can be implemented by those having ordinary knowledge in the art within the technical idea of the present invention. It is obvious.

101…不正アクセス検知装置、102…監視部、103…送信部、104…受信部、105…判断部、111…通信回線、121…設備機器、131…不正機器。   DESCRIPTION OF SYMBOLS 101 ... Unauthorized access detection apparatus, 102 ... Monitoring part, 103 ... Transmission part, 104 ... Reception part, 105 ... Judgment part, 111 ... Communication line, 121 ... Equipment, 131 ... Unauthorized equipment.

Claims (8)

複数の設備機器が接続されている通信回線を監視して、いずれかの前記設備機器が対象とする特定情報の前記通信回線への送出を検知するように構成された監視部と、
前記監視部による特定情報の検知に応じ、前記監視部が特定情報と共に検知した特定情報の送信元情報で特定される送信元に、特定情報の送信要求を送信する送信部と、
前記送信要求に対する応答を受信するように構成された受信部と、
前記監視部で検知した特定情報に一致する応答が受信されない場合、前記監視部が検知した特定情報を不正と判断するように構成された判断部と
を備えることを特徴とする不正アクセス検知装置。 A monitoring unit configured to monitor a communication line to which a plurality of facility devices are connected and detect transmission of specific information targeted by any of the facility devices to the communication line;
In response to detection of specific information by the monitoring unit, a transmission unit that transmits a transmission request for specific information to a transmission source specified by the transmission source information of the specific information detected by the monitoring unit together with the specific information;
A receiver configured to receive a response to the transmission request;
An unauthorized access detection apparatus comprising: a determination unit configured to determine that the specific information detected by the monitoring unit is illegal when a response that matches the specific information detected by the monitoring unit is not received. 請求項1記載の不正アクセス検知装置において、
前記判断部は、前記送信部が前記送信要求を送信した後、所定の時間内に前記監視部が検知した特定情報に一致する応答が受信されない場合、前記監視部が検知した特定情報を不正と判断する
ことを特徴とする不正アクセス検知装置。 The unauthorized access detection device according to claim 1,
When the determination unit does not receive a response that matches the specific information detected by the monitoring unit within a predetermined time after the transmission unit transmits the transmission request, the determination unit determines that the specific information detected by the monitoring unit is illegal. An unauthorized access detection device characterized by judging. 請求項1または2記載の不正アクセス検知装置において、
前記判断部は、前記監視部で検知した特定情報に、設定されている許容幅の範囲で一致する応答が受信されない場合、前記監視部が検知した特定情報を不正と判断する
ことを特徴とする不正アクセス検知装置。 The unauthorized access detection device according to claim 1 or 2,
The determination unit determines that the specific information detected by the monitoring unit is illegal when a response that matches the specific information detected by the monitoring unit within a set allowable range is not received. Unauthorized access detection device. 請求項1〜3のいずれか1項に記載の不正アクセス検知装置において、
前記判断部が、検知した特定情報を不正と判断した後で、前記監視部が新たに検知した送信元情報で特定される同一の送信元からの特定情報と、前記受信部が受信した応答とが、一致する場合に前記判断部による外部からの不正アクセスを検知したものとする判断を取り消す再判断部を更に備えることを特徴とする不正アクセス検知装置。 The unauthorized access detection device according to any one of claims 1 to 3,
After the determination unit determines that the detected specific information is illegal, specific information from the same transmission source specified by the transmission source information newly detected by the monitoring unit, and the response received by the reception unit However, when there is a match, the unauthorized access detection apparatus further includes a re-determination unit that cancels the determination that the unauthorized access from the outside is detected by the determination unit. 複数の設備機器が接続されている通信回線を監視して、前記通信回線に送出されたいずれかの前記設備機器が対象とする特定情報を検知する第1ステップと、
前記第1ステップによる特定情報の検知に応じ、前記第1ステップで特定情報と共に検知した特定情報の送信元情報で特定される送信元に、特定情報の送信要求を送信する第2ステップと、
前記送信要求に対する応答を受信する第3ステップと、
前記第1ステップで検知した特定情報に一致する応答が受信されない場合、前記第1ステップで検知した特定情報を不正と判断する第4ステップと
を備えることを特徴とする不正アクセス検知方法。 A first step of monitoring a communication line connected to a plurality of equipment and detecting specific information targeted by any of the equipment sent to the communication line;
A second step of transmitting a specific information transmission request to a transmission source specified by the transmission source information of the specific information detected together with the specific information in the first step in response to detection of the specific information by the first step;
A third step of receiving a response to the transmission request;
An unauthorized access detection method comprising: a fourth step of determining that the specific information detected in the first step is illegal when a response matching the specific information detected in the first step is not received. 請求項5記載の不正アクセス検知方法において、
前記第4ステップでは、前記第2ステップで前記送信要求を送信した後、所定の時間内に前記第1ステップで検知した特定情報に一致する応答が受信されない場合、前記第1ステップで検知した特定情報を不正と判断する
ことを特徴とする不正アクセス検知方法。 The unauthorized access detection method according to claim 5.
In the fourth step, if the response matching the specific information detected in the first step is not received within a predetermined time after the transmission request is transmitted in the second step, the specific detected in the first step An unauthorized access detection method characterized in that information is judged to be unauthorized. 請求項5または6記載の不正アクセス検知方法において、
前記第4ステップでは、前記第1ステップで検知した特定情報に、設定されている許容幅の範囲で一致する応答が受信されない場合、前記第1ステップで検知した特定情報を不正と判断する
ことを特徴とする不正アクセス検知方法。 The unauthorized access detection method according to claim 5 or 6,
In the fourth step, if a response that matches the specific information detected in the first step within the set allowable range is not received, the specific information detected in the first step is determined to be illegal. A feature of the method of detecting unauthorized access. 請求項5〜7のいずれか1項に記載の不正アクセス検知方法において、
前記第4ステップで、検知した特定情報を不正と判断した後で、送信元情報で特定される同一の送信元からの新たに検知した特定情報と、前記第3ステップで受信した応答とが、一致する場合に前記第4ステップにおける外部からの不正アクセスを検知したものとする判断を取り消す第5ステップを更に備えることを特徴とする不正アクセス検知方法。 In the unauthorized access detection method according to any one of claims 5 to 7,
After determining that the detected specific information is illegal in the fourth step, the newly detected specific information from the same transmission source specified by the transmission source information and the response received in the third step are: An unauthorized access detection method, further comprising a fifth step of canceling the determination that unauthorized access from the outside in the fourth step is detected when they match.
JP2017118347A 2017-06-16 2017-06-16 Unauthorized access detection device and method Pending JP2019004352A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017118347A JP2019004352A (en) 2017-06-16 2017-06-16 Unauthorized access detection device and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017118347A JP2019004352A (en) 2017-06-16 2017-06-16 Unauthorized access detection device and method

Publications (1)

Publication Number Publication Date
JP2019004352A true JP2019004352A (en) 2019-01-10

Family

ID=65006136

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017118347A Pending JP2019004352A (en) 2017-06-16 2017-06-16 Unauthorized access detection device and method

Country Status (1)

Country Link
JP (1) JP2019004352A (en)

Similar Documents

Publication Publication Date Title
JP5390798B2 (en) Method and apparatus for early warning of network equipment
US20180183816A1 (en) Relay apparatus, network monitoring system, and program
EP2767057B1 (en) Process installation network intrusion detection and prevention
CN111295865B (en) Obtaining local area network diagnostic test results
GB2532630A (en) Network intrusion alarm method and system for nuclear power station
JP6117050B2 (en) Network controller
JP6127866B2 (en) COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL METHOD, AND COMMUNICATION CONTROL PROGRAM
JP2019004352A (en) Unauthorized access detection device and method
JP6028839B1 (en) COMMUNICATION DEVICE, COMMUNICATION PROCESSING METHOD, PROGRAM
KR101429178B1 (en) System and method of wireless network security
JP2020053928A (en) Unauthorized access monitoring device and method
KR102295589B1 (en) Fire detection system
JP2009005122A (en) Illegal access detection apparatus, and security management device and illegal access detection system using the device
AU2019277439B2 (en) Abnormality detection apparatus, abnormality detection method, and abnormality detection program
JP6835526B2 (en) Unauthorized access monitoring device and method
CN105827427B (en) Information processing method and electronic equipment
CN114710308B (en) Method and system for controlling network equipment access
US20230216873A1 (en) Detection system, detection method, and recording medium
JP6568495B2 (en) Unauthorized access prevention apparatus and method
US20220277061A1 (en) Method for providing iot devices access to restricted access information
JP2021072586A (en) Unauthorized connection detection device, unauthorized connection detection system, and unauthorized connection detection method
Zhang et al. Research on redundant channel model based on spatial correlation in IOT
KR101607261B1 (en) Method for controlling client access to public IP group using cookie
KR20150146147A (en) Home network security service
KR20210039299A (en) Fraud detection device and fraud detection method