JP2019080211A - Countermeasure planning system and monitoring device for control system - Google Patents
Countermeasure planning system and monitoring device for control system Download PDFInfo
- Publication number
- JP2019080211A JP2019080211A JP2017206707A JP2017206707A JP2019080211A JP 2019080211 A JP2019080211 A JP 2019080211A JP 2017206707 A JP2017206707 A JP 2017206707A JP 2017206707 A JP2017206707 A JP 2017206707A JP 2019080211 A JP2019080211 A JP 2019080211A
- Authority
- JP
- Japan
- Prior art keywords
- countermeasure
- pattern
- task
- communication
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、制御システムのための対策立案システムおよび監視装置に関する。 The present invention relates to a countermeasure planning system and a monitoring device for a control system.
電力、鉄道、水道、ガスといった社会インフラや自動車で利用される制御システムは、センサの情報をもとにバルブやアクチュエータといった装置を動作させ、予め設定されている圧力や温度を保つことが要求される。 Control systems used in social infrastructure such as electric power, railways, water supply, and gas and in automobiles are required to operate devices such as valves and actuators based on sensor information and maintain preset pressure and temperature. Ru.
この動作を実現するためには、コントローラ等の組込み装置において、定期的にセンサからの情報を取得し、状態を確認し、他のコントローラやサーバ等に通知し、必要に応じて制御を行うことが必要となる。このため、制御システムでは周期的な通信が発生し、その通信データをもとに処理を行うことが通例である。 In order to realize this operation, in a built-in device such as a controller, periodically acquire information from the sensor, check the status, notify other controllers, servers, etc., and perform control as necessary. Is required. For this reason, periodic communication occurs in the control system, and processing is usually performed based on the communication data.
一方、制御システムはこれまで専用OS(Operating System)や専用プロトコルを利用しており、インターネット等の外部ネットワークからアクセスできない領域に孤立した状態で設置されているため、いわゆるコンピュータウィルスやDoS攻撃(Denial of Service attack)といったサイバー攻撃からは無縁であると考えられてきた。 On the other hand, the control system has so far used a dedicated operating system (OS) or a dedicated protocol, and is installed in an isolated state in an area inaccessible from an external network such as the Internet. It has been considered as irrelevant from cyber attacks such as of service attack.
しかしながら、コスト削減のために汎用OSや汎用プロトコルを利用するケースが増加しており、効率向上のために情報系システムとの接続も進んできている。また、近年では、制御システムをターゲットとしたコンピュータウィルスが発見されており、制御システムにおいても情報システムと同様にマルウェア等の感染や外部からの不正アクセスといったセキュリティインシデントを検知し、対策する技術が必要となっている。 However, cases of using a general-purpose OS or a general-purpose protocol for cost reduction are increasing, and connection with an information system is also in progress for improving efficiency. Also, in recent years, computer viruses targeting the control system have been discovered, and the control system also needs a technology to detect and deal with security incidents such as infection with malware and unauthorized access from the outside as in the information system. It has become.
このような課題に対し、セキュリティインシデントの種別毎に対策内容を予め定めておき、セキュリティインシデント検知時に発生した種別をもとに対策を抽出し、実行する技術が知られている(例えば、特許文献1参照)。 With respect to such problems, there is known a technology in which the content of measures is determined in advance for each type of security incident, and the measures are extracted and executed based on the type occurring at the time of detection of the security incident (for example, patent documents 1).
特許文献1等で知られた技術を用いれば、予め定められた対策を選定して適用することは可能になる。しかしながら、制御システムにおいては、制御のアプリケーションによって、実行される業務の内容が変化し、ネットワークの通信経路等も変化する。このため、実行中の業務と関わりなく、予め定められた対策を選定し適用しては、選定された対策が実行中の業務に適合せず、業務に大きな影響を与える可能性がある。 If the technique known by patent document 1 grade | etc., Is used, it will become possible to select and apply a predetermined countermeasure. However, in the control system, the contents of the task to be executed change depending on the control application, and the communication path of the network also changes. For this reason, regardless of the work being performed, if the predetermined measures are selected and applied, the selected measures may not be suitable for the work being performed, which may greatly affect the work.
本発明は、上記事情に鑑みてなされたものであり、制御システム内で実行されている業務への影響を加味して対策を提供することを目的とする。 The present invention has been made in view of the above circumstances, and an object thereof is to provide a countermeasure in consideration of the influence on operations performed in a control system.
本発明に係る代表的な対策立案システムは、制御システムのための対策立案システムであって、複数の制御装置間で通信されるパケットを受信して中継し、受信したパケットの通信ログを収集して送信し、受信したパケットの不正を検知してアラートを送信するネットワーク装置、および前記ネットワーク装置により送信された通信ログから、通信経路の情報を含む業務パターンを抽出する業務抽出部と、対策に関する機器の情報を含む対策パターンが格納される対策パターン格納部と、業務パターンに含まれる通信経路の情報と対策パターンに含まれる機器の情報に基づき影響業務を抽出し、影響業務を対策パターンに含める業務影響推定部と、前記ネットワーク装置により送信されたアラートと対策パターンに基づき対策候補を抽出する対策立案部と、影響業務を含めて対策候補を出力する入出力部と、を含む監視装置、を備えたことを特徴とする。 A representative countermeasure planning system according to the present invention is a countermeasure planning system for a control system, which receives and relays packets communicated between a plurality of control devices, and collects communication logs of the received packets. A network device that transmits an alert, detects an irregularity of a received packet, and sends an alert, and a task extraction unit that extracts a task pattern including information of a communication path from the communication log transmitted by the network device; The affected task is extracted based on the countermeasure pattern storage unit in which the countermeasure pattern including the device information is stored, the communication path information included in the task pattern and the device information included in the countermeasure pattern, and the affected task is included in the countermeasure pattern Extract action candidates based on the business impact estimation unit, the alert sent from the network device, and the action pattern And measures planning unit and an input-output unit for outputting a countermeasure candidate including the impact work, characterized by comprising a monitoring device, comprising a.
本発明によれば、制御システム内で実行されている業務への影響を加味して対策を提供することが可能となる。 According to the present invention, it is possible to provide measures taking into consideration the influence on the task being executed in the control system.
本発明の一実施形態について以下に説明する。なお、以下に説明する一実施形態に本発明は限定されるものではない。 One embodiment of the present invention will be described below. Note that the present invention is not limited to the embodiment described below.
図1は、対策立案システムの構成の例を示す図である。この対策立案システムは制御システム向けであり、図1に例示するように、制御装置10−1〜10−n(nは2以上の整数、nが3以上の場合、制御装置10−2〜10−(n−1)の図示を省略)と、ネットワーク装置20と、不正接続防止装置30と、監視装置40と、ネットワーク50と、から構成されている。
FIG. 1 is a diagram showing an example of the configuration of a countermeasure planning system. This countermeasure planning system is for a control system, and as illustrated in FIG. 1, the control devices 10-1 to 10-n (where n is an integer of 2 or more, and n is 3 or more, the control devices 10-2 to 10). -(N-1) is not shown), the
ここで、ネットワーク50は複数存在しても良く、ネットワーク装置20と不正接続防止装置30はネットワーク50毎に複数存在しても良い。不正接続防止装置30は存在しなくても良い。ネットワーク装置20と不正接続防止装置30は一つの装置であっても良い。
Here, a plurality of
制御装置10−1〜10−nのそれぞれは、制御処理を行う制御処理部101−1〜101−nのそれぞれと、ネットワーク50やネットワーク装置20等と通信を行う通信部102−1〜102−nのそれぞれと、を含む。
Each of the control devices 10-1 to 10-n communicates with each of the control processing units 101-1 to 101-n that performs control processing, and with the
ネットワーク装置20は、ネットワーク装置20に入力される通信パケットをフィルタリングするフィルタリング部201と、フィルタリング部201で不正な通信を検知した際にアラートを生成するアラート生成部202と、ネットワーク装置20に入力される通信パケットに関するログを収集する通信ログ収集部203と、フィルタリング部201で参照するフィルタリングポリシを更新するポリシ更新部204と、を含む。
The
また、ネットワーク装置20は、ネットワーク装置20の動作モードを管理するモード管理部205と、ネットワーク50と通信を行う第一通信部206と、フィルタリング部201で参照するフィルタリングポリシを格納するフィルタリングポリシ格納部207と、通信ログ収集部203で収集した通信ログを格納する通信ログ格納部208と、制御装置10−nと通信を行う第二通信部209と、を含む。なお、ネットワーク装置20は、3つ以上の通信部を保有しても良い。
The
不正接続防止装置30は、ネットワーク50上に不正な機器が接続されたことを検知する不正接続検知部301と、不正接続検知部301で不正接続を検知した際にアラートを生成するアラート生成部302と、不正接続検知部301で参照する正当機器リストを更新するリスト更新部303と、ネットワーク50と通信を行う通信部304と、不正接続検知部301で参照する正当機器リストを格納する正当機器リスト格納部305と、を含む。
The unauthorized
また、不正接続防止装置30は、不正な接続と検知された機器をネットワーク50から切り離す処理を行っても良い。この切り離しの処理は、ネットワーク50が実際はネットワークスイッチ等で構成される場合、ネットワークスイッチのポートを遮断するための処理であっても良く、監視装置40からのコマンドに応じて不正接続防止装置30がネットワークスイッチ等を制御しても良い。
Further, the unauthorized
監視装置40は、ネットワーク装置20や不正接続防止装置30で生成したアラートを収集するアラート収集部401と、収集したアラートを用いて原因を分析する原因分析部402と、原因分析部402の分析結果に基づき、対策を立案する対策立案部403と、ネットワーク装置20で収集した通信ログを収集する通信ログ収集部404と、収集した通信ログを用いて制御システム内で実行されている業務のパターンを抽出する業務抽出部405と、を含む。
The
また、監視装置40は、ネットワーク50と通信を行う通信部406と、対策立案部403で立案する対策の制御システム内で実行されている業務への影響を推定する業務影響推定部407と、アラート収集部401で収集したアラートを格納するアラート格納部408と、通信ログ収集部404で収集した通信ログを格納する通信ログ格納部409と、を含む。
In addition, the
さらに、監視装置40は、業務抽出部405で抽出した業務パターンを格納する業務パターン格納部410と、対策立案部403で対策を立案する際に参照する対策のリストを格納する対策パターン格納部411と、業務抽出部405で業務を抽出した際に業務情報を入力し、対策立案部403で対策を立案した結果を出力する入出力部412と、監視装置40の動作モードを管理するモード管理部413を含む。
Furthermore, the
図2は、制御装置10−1〜10−n、不正接続防止装置30、および監視装置40のハードウェア構成の例を示す図である。制御装置10−1〜10−n、不正接続防止装置30、および監視装置40は、同じハードウェア構成であっても良く、通信装置11と、入出力装置12と、記憶装置13と、CPU14と、メモリ15と、がバス等の内部通信線16で連結され、構成されている。
FIG. 2 is a diagram illustrating an example of the hardware configuration of the control devices 10-1 to 10-n, the unauthorized
通信装置11は、図1に例示した通信部102−1〜102−n、通信部304、あるいは通信部406に含まれる。入出力装置12は、図1に例示した入出力部412に含まれる。記憶装置13は、図1に例示した正当機器リスト格納部305、アラート格納部408、通信ログ格納部409、業務パターン格納部410、あるいは対策パターン格納部411を含む。
The
CPU14は、プロセッサであり、メモリ15に格納されたプログラムを読み出して実行することにより、メモリ15あるいは記憶装置13とデータを読み書きし、データを処理して、通信装置11と入出力装置12を制御する。これによりCPU14は、図1に例示した制御装置10−1〜10−n、不正接続防止装置30、あるいは監視装置40内の各部となっても良い。このため、各部を主語とする説明は、CPU14を主語とする説明に置き換えられても良い。
The CPU 14 is a processor, reads out and executes a program stored in the
メモリ15は、プログラムあるいはデータを格納する。メモリ15に格納されるプログラムあるいはデータは、記憶装置13との間でコピーされても良い。なお、制御装置10−1〜10−n、不正接続防止装置30、あるいは監視装置40は、図2では図示されない回路を含んでも良いし、図2に例示する構成の一部を含まなくても良い。
The
図3はネットワーク装置20のハードウェア構成の例を示す図である。ネットワーク装置20は、第一通信装置21−1と、第二通信装置21−2と、入出力装置22と、記憶装置23と、CPU24と、メモリ25と、がバス等の内部通信線26で連結され、構成されている。
FIG. 3 is a diagram showing an example of the hardware configuration of the
入出力装置22からメモリ25までは、図2を用いて説明した入出力装置12からメモリ15までのそれぞれと同じ説明であるので、説明を省略する。第一通信装置21−1は第一通信部206に含まれ、第二通信装置21−2は第二通信部209に含まれる。なお、ネットワーク装置20は、3つ以上の通信装置を保有しても良い。
The description of the input /
以下では、制御システム向け対策立案システムにおける処理フローについて説明する。以下で説明する処理フローは、制御装置10−1〜10−n、ネットワーク装置20、不正接続防止装置30、および監視装置40の記憶装置13、23に格納されたプログラムが、メモリ15、25にロードされ、CPU14、24により実行されることで制御システム向け対策立案システムを構成する装置上に具現化された各処理部、により実行されるものである。
Below, the processing flow in the countermeasure system for control systems is explained. In the processing flow described below, programs stored in the
このため、各装置を主語とする説明は、CPU14、24を主語とする説明に置き換えられても良い。また、ロードされて実行される各プログラムは、予め記憶装置13、23に格納されても良いし、他の記憶媒体または通信媒体(ネットワークまたはネットワークを伝搬する搬送波)を介して、実行のため必要なときに導入されても良い。
For this reason, the description which makes each apparatus a subject may be replaced with the description which makes CPU14 and 24 a subject. Also, each program to be loaded and executed may be stored in advance in the
図4は、制御システム向け対策立案システムにおいて、制御システムの試運転時等に実行される処理フローの例を示す図である。制御システムの試運転時では、ネットワーク装置20と監視装置40の動作モードが初期モードに設定され、制御システムの運用時はこれらの動作モードが運用モードに設定される。
FIG. 4 is a diagram showing an example of a processing flow executed at the time of trial operation of the control system, etc., in the countermeasure system for control system. At the time of trial operation of the control system, the operation modes of the
このため、はじめに、ネットワーク装置20は、ネットワーク装置20の動作モードを初期モードに設定する(ステップS401)。ここで、動作モードが初期モードに設定できない、もしくは、以降の処理が初期モードに設定されないまま実行されようとする場合には、以降の処理を中止しても良い。
Therefore, first, the
また、監視装置40は、監視装置40の動作モードを初期モードに設定する(ステップS402)。ここで、動作モードが初期モードに設定できない、もしくは、以降の処理が初期モードに設定されないまま実行されようとする場合には、以降の処理を中止しても良い。なお、ステップS401、S402は、ネットワーク50経由で受信した信号をトリガに実行されても良いし、ユーザの操作により実行されても良い。
Also, the
次に、制御装置10−1は、制御コマンドを生成し(ステップS403)、生成した制御コマンドを制御装置10−nに向けて送信する。ここで、制御装置10−1と制御装置10−nの間にはネットワーク装置20が存在するため、ネットワーク装置20が制御コマンドを受信する。
Next, the control device 10-1 generates a control command (step S403), and transmits the generated control command to the control device 10-n. Here, since the
ネットワーク装置20は、制御装置10−1から受信した制御コマンドに関する通信ログを格納し(ステップS404)、受信した制御コマンドを制御装置10−nに送信する。なお、通信ログの構成については、図12を用いて後で説明する。
The
制御装置10−nは、ネットワーク装置20から制御コマンドを受信すると、受信した制御コマンドにしたがって制御システムとしての制御業務を実行し(ステップS405)、実行した結果を示すレスポンスを制御装置10−1に向けて送信する。
When the control device 10-n receives a control command from the
ネットワーク装置20は、受信したレスポンスに関する通信ログを格納し(ステップS406)、受信したレスポンスを制御装置10−1に送信する。そして、試運転が終了したかを判定する(ステップS407)。この試運転の終了の判定は、ネットワーク装置20に終了の信号や指示が与えられたことを判定しても良いし、予め送受信される通信パケットの数が定められていて、その数のパケットが通過したかを判定しても良い。
The
その結果、試運転が終了していないと判定された場合、ネットワーク装置20は次の制御コマンドの来るのを待機する(ステップS408)。一方、試運転が終了していると判定された場合、ネットワーク装置20は通信ログ格納部208に格納されている通信ログ群を取得する(ステップS409)。
As a result, when it is determined that the test operation has not ended, the
そして、ネットワーク装置20は、取得した通信ログ群を監視装置40に送信し、ネットワーク装置20の動作モードを運用モードに設定する(ステップS410)。これに対し、監視装置40は、ネットワーク装置20から通信ログ群を受信すると、受信した通信ログ群を通信ログ格納部409に格納する(ステップS411)。
Then, the
監視装置40は、通信ログ格納部409に格納されている通信ログを用いて、業務パターンを抽出し(ステップS412)、業務影響を推定し(ステップS413)、監視装置40の動作モードを運用モードに設定する(ステップS414)。業務パターンの抽出処理と業務影響の推定処理については、図5、6を用いて後で説明する。
The
図5は、監視装置40で実行する試運転時に収集した通信ログから業務パターンを抽出する処理フローの例を示す図である。この処理フローは、図4に示したステップS412の処理に相当し、監視装置40の中では、業務抽出部405により実行されても良い。
FIG. 5 is a diagram showing an example of a processing flow for extracting a task pattern from the communication log collected at the time of trial operation executed by the
はじめに、監視装置40は、業務パターン抽出処理を開始し(ステップS501)、通信ログ格納部409から通信ログを取得する(S502)。ここで、取得する通信ログは、通信ログ格納部208に格納されている通信ログのデータ量を検出し、検出したデータ量の通信ログであっても良いし、予め定められたデータ量の通信ログであっても良い。
First, the
次に、監視装置40は、取得した通信ログに含まれる送信元と送信先の情報を用いて、通信経路分析を行なう(ステップS503)。通信経路分析は、複数の通信に分かれた1本の通信経路を特定する分析であり、ある通信ログの送信先と、それ以降の通信ログの送信元と、が一致する通信ログを抽出し、送信元の一致で抽出した通信ログの送信先と、それ以降の通信ログの送信元と、が一致する通信ログを抽出すること、を繰り返す。
Next, the
例えば、送信元が制御装置10−aであり送信先が制御装置10−bである通信ログAに対して、送信元が制御装置10−bであり送信先が制御装置10−cである通信ログBが抽出され、この抽出された通信ログBに対して、送信元が制御装置10−cであり送信先が制御装置10−dである通信ログCが抽出された場合、制御装置10−aから制御装置10−dまでが分析された通信経路であり、通信ログAと通信ログBと通信ログCが一連の通信ログである。 For example, for communication log A in which the transmission source is the control device 10-a and the transmission destination is the control device 10-b, the communication in which the transmission source is the control device 10-b and the transmission destination is the control device 10-c When the log B is extracted and the communication log C in which the transmission source is the control device 10-c and the transmission destination is the control device 10-d is extracted from the extracted communication log B, the control device 10- The communication paths from “a” to “control device 10-d” are analyzed, and communication log A, communication log B, and communication log C are a series of communication logs.
監視装置40は、通信ログの日時情報を用いて、ステップS503で抽出した一連の通信ログの間隔評価を行う(ステップS504)。このために、一連の通信ログの中で、送信先と送信元で通信が連続する任意の2つの通信ログの受信日時の差分を算出する。すなわち、通信ログAの受信日時と通信ログBの受信日時の差分を算出し、通信ログBの受信日時と通信ログCの受信日時の差分を算出する。
The
監視装置40は、算出した一連の通信ログの受信日時の差分から、業務パターンを抽出する(ステップS505)。業務パターンの抽出は、例えば一連の通信ログの中で2つ受信日時の差分が1秒以内等の予め定められた一定時間以内である通信ログを同一の業務に関する通信ログと見なし、一定時間以上である通信ログを異なる業務に関する通信ログと見なして、同一の業務に関する通信ログを業務パターンとする。
The
また、ステップS503で分析された通信経路が、完全に同一通信経路となる複数の業務パターンがあると判定した場合、監視装置40は、それらの業務パターン間の実行周期を抽出する。この実行周期は、各業務パターンに関わる通信ログの最初の受信日時同士の周期であっても良い。
If it is determined in step S503 that there are a plurality of business patterns in which the communication path analyzed is completely the same communication path, the
監視装置40は、業務パターン格納部410に既に何らかの業務パターンが格納されているか判定する(ステップS506)。その結果、格納されていないと判定された場合には、以降のステップS509を実行する。
The
ステップS506で格納されていると判定された場合、監視装置40は、業務パターン格納部410から業務パターンを取得し(S507)、取得した業務パターンとステップS505で抽出した業務パターンの差分を抽出する(S508)。
If it is determined in step S506 that the data is stored, the
ステップS505で抽出した業務パターンには、業務パターン格納部410に既に格納済みの業務パターンが含まれる可能性もあるため、ステップS508で抽出した差分の業務パターンは、これまでに無い新たな業務パターンである。ここでの業務パターンについては、図13を用いて後で説明する。
The task pattern extracted in step S505 may include a task pattern already stored in the task
ステップS509において監視装置40は、ステップS505で抽出した業務パターンあるいはステップS508で抽出した差分の業務パターンに対して、業務の名称や業務の重要度といった関連情報の入力を受け付け、抽出した業務毎にIDを割り振り、送信元、送信先、中継経路といった通信経路情報、周期情報とともに業務パターン格納部410に格納する。
In step S509, the
業務関連情報の入力画面の例については、図8を用いて後で説明する。業務の重要度は例えば高、中、低や10段階の数値等での入力を受け付け、業務の継続が要求されるものほど高くなることが好ましい。そして、監視装置40は、処理を終了する(ステップS510)。
An example of the input screen of the task related information will be described later with reference to FIG. For example, it is preferable that the degree of importance of the business is increased as the business continuation is requested, by accepting an input of high, middle, low, or ten levels. Then, the
なお、業務パターンの抽出に関しては試運転時の通信ログを使用する処理以外に、ユーザから直接に業務パターンの設定を受け付けても良いし、システム設計書等のドキュメントに記載された情報から抽出しても良いが、これらの処理に限定されるものではない。 In addition to the process of using the communication log at the time of trial operation, the work pattern may be directly set by the user for extraction of the work pattern, or may be extracted from information described in a document such as a system design document. Although it is good, it is not limited to these processes.
また、図5に例示した処理フローは、試運転時に限らず、予め設定された一定間隔で実行されても良いし、新たな業務を追加された場合等に、何らかの処理によりその追加等を検出して実行されても良い。 In addition, the process flow illustrated in FIG. 5 may be executed not only at the time of trial operation but also at a predetermined constant interval, or when a new job is added, the addition or the like is detected by some process. May be executed.
図6は、監視装置40で業務パターン抽出後に実施する対策の業務への影響を推定する処理フローの例を示す図である。この処理フローは、図4に示したステップS413の処理に相当し、監視装置40の中では、業務影響推定部407により実行されても良い。
FIG. 6 is a diagram showing an example of a processing flow for estimating the influence on the work of the measure implemented after the work pattern extraction by the
はじめに、監視装置40は、業務影響推定処理を開始し(ステップS601)、対策パターン格納部411から対策パターンを取得し(ステップS602)、業務パターン格納部410に格納されている業務パターンを取得する(ステップS603)。ここでの対策パターンについては、図14を用いて後で説明する。
First, the
次に、監視装置40は、ステップS602で取得した対策パターンとステップS603で取得した業務パターンを用いて影響を受ける業務を推定する(S604)。影響業務推定は、対策パターン毎に規定されているネットワーク遮断や機器切断といった対策内容と、各業務パターンの通信経路との突合せを行い、各対策パターンを実行した場合に影響を受ける業務とその影響内容(停止や部分停止)を抽出する。ここで、停止や部分停止の判断として、例えば、各業務パターンにおける通信が全て停止してしまうケースを停止とし、一部分の通信が停止するケースを部分停止にするなどが考えられるが、これに限定されるものではない。
Next, the
抽出した影響を受ける業務とその影響内容から、監視装置40は影響度を算出する(ステップS605)。影響度算出は、例えば影響を受ける業務の重要度を定量化(高の場合は3、中の場合は2、低の場合は1と数値化)し、影響内容を定量化(停止の場合は1、部分停止の場合は0.5と数値化)し、乗算して算出する。
The
また、一つの対策が実行されると複数の業務が影響を受ける場合、業務毎に影響度が算出され、算出された中で最も大きい影響度を最終的な影響度としても良いし、算出された複数の影響度の和を最終的な影響度としても良いが、これらの処理に限定されるものではない。 In addition, if multiple tasks are affected when one measure is executed, the impact degree is calculated for each task, and the largest impact degree among the calculated may be the final impact degree, or Although the sum of a plurality of influence degrees may be the final influence degree, it is not limited to these processes.
監視装置40は、ステップS604で影響を受ける業務があると抽出された各対策パターンであって、対策パターン格納部411の各対策パターンに、影響を受ける業務と影響内容と影響度を格納する(ステップS606)。そして、監視装置40は、処理を終了する(ステップS607)。
The
図7は、制御システム向け対策立案システムにおいて、制御システムの運用時に実行される処理フローの例を示す図である。制御システムの運用時であるので、制御装置10−1〜制御装置10−nの中の複数の制御装置間で通信をしているが、この通信そのものが、どのような制御のための通信であるかは、以下の説明とは関係ないため、図示と説明を省略する。 FIG. 7 is a diagram showing an example of a processing flow executed at the time of operation of the control system in the control system-oriented countermeasure planning system. Since it is at the time of operation of the control system, communication is performed among a plurality of control devices in the control devices 10-1 to 10-n, but this communication itself is the communication for what kind of control. Since there is nothing to do with the following description, illustration and description will be omitted.
制御システムの運用の中で、ネットワーク装置20は、フィルタリングポリシ格納部207に格納されているフィルタリングポリシを用いて、不正な通信の発生といったセキュリティインシデントの発生を検知し、アラートを生成し(ステップS701)、生成したアラートを監視装置40に送信する。
In the operation of the control system, the
また、不正接続防止装置30も、制御システムの運用の中で、正当機器リスト格納部305に格納されている正当機器リストを用いて、不正な機器接続といったセキュリティインシデントの発生を検知し、アラートを生成し(ステップS702)、生成したアラートを監視装置40に送信する。
In addition, the unauthorized
このようにアラートが監視装置40に送信されると、監視装置40は、アラートを受信し、受信したアラートをアラート格納部408に格納する(S703)。ここでのアラートについては、図11を用いて後で説明する。次に、監視装置40は、格納したアラートを用いて、セキュリティインシデントの原因となった装置やネットワークを特定する(ステップS704)。すなわち原因分析部402が原因を分析する。
Thus, when the alert is transmitted to the
監視装置40は、ステップS704で特定された原因となった装置やネットワークの種類やインシデントの種別を示す原因内容に基づき、適用可能な対策候補を対策パターン格納部411から抽出する(ステップS705)。すなわち対策立案部403が対策を立案する。この抽出した対策候補を監視装置40は出力する(ステップS706)。
The
対策候補の画面への出力の例については、図9を用いて後で説明する。この出力の内容は、過去に選定された対策の履歴あるいは実績の情報が含まれても良い。このような情報が含まれることにより、次のステップのユーザによる対策の選定に役立つ。 An example of the output to the screen of the countermeasure candidate will be described later with reference to FIG. The contents of this output may include information on the history or results of measures selected in the past. By including such information, it helps the user to select measures in the next step.
出力した対策候補の中からのユーザによる対策の選定入力を、監視装置は受け付ける(ステップS707)。対策の選定結果画面の例については、図10を用いて後で説明する。なお、図10では、単一の対策が選定される例を示しているが、単一に限らず、複数の対策が選定されても良い。また、選択に関する情報が、対策の履歴として記録されても良い。 The monitoring apparatus receives an input for selecting a measure by the user from among the outputted measure candidates (step S 707). An example of the countermeasure selection result screen will be described later with reference to FIG. Although FIG. 10 shows an example in which a single measure is selected, the present invention is not limited to a single measure, and a plurality of measures may be selected. Further, information on the selection may be recorded as a history of measures.
そして、監視装置40は、選定された対策を実行する(ステップS708)。このために、監視装置40は対策コマンドを対象機器に送信する。図7では、監視装置40がネットワーク装置20に対して送信する例を示している。以上のステップS705〜S708は、対策立案部403により実行されても良い。
Then, the
なお、図7の例では、対策候補を出力する、すなわち監視員等のユーザに対して画面を表示し、業務への影響を可視化した上で、ユーザにより対策が選定される流れを示しているが、対策の影響度が低の場合等は、その場合を判定してステップS706をスキップし、画面を表示させず、ステップS707において監視装置40が影響度の低の対策を選定しても良い。
In the example shown in FIG. 7, a screen is displayed for a user such as a monitoring person who outputs a measure candidate, and after visualizing the influence on work, a flow is shown in which the measure is selected by the user. However, if the degree of influence of the countermeasure is low, etc., the case may be determined and step S706 may be skipped without displaying the screen, and the
監視装置40から送信された対策コマンドを受信したネットワーク装置20は、受信した対策コマンドをもとにフィルタリングポリシ格納部207に格納されているフィルタリングポリシを更新する(ステップS708)。
The
図8は、監視装置40が出力する業務関連情報入力画面の例を示す図である。業務関連情報入力画面801は、図5に示したステップS509で表示される画面であり、入出力部412で表示されても良く、システム構成802と業務一覧803から構成される。
FIG. 8 is a diagram showing an example of a task related information input screen output by the
業務一覧803は、業務ID804と、通信経路805と、周期806と、業務名807と、重要度808の情報から構成され、テーブルとして表示される。業務ID804は、ステップS509で業務毎に割り振られたIDが表示され、通信経路805は、ステップS503で分析された通信経路が表示され、周期806は、ステップS505で抽出された周期が表示される。
The
また、業務名807と重要度808の入力欄809は、ユーザによる入力を促すものであり、入力される情報の内容は、図5を用いて説明したとおりである。入力欄809への入力は、図示を省略したキーボードが用いられても良いし、入力欄809が高、中、低や数値のプルダウンメニューとなっており、プルダウンメニューの中から選択されても良い。
Further, the
システム構成802は、制御システムの構成と、業務ID804および通信経路805の情報に対応した各業務の通信経路が表示される。この表示をユーザが確認することにより、業務名807や重要度808の入力欄809への入力ミスを低減することが可能となる。
The
なお、業務関連情報入力画面801に表示される内容は、図8の例に限定されるものではなく、図8に示した例の内容が含まれていれば良く、表示の位置と順序も図8の例に限定されるものではない。
Note that the content displayed on the job related
ステップS503〜S505において、業務の抽出が漏れる場合もあるため、業務関連情報入力画面801において、業務ID804、通信経路805、および周期806も入力可能とし、新たな業務情報(業務ID804、通信経路805、周期806、業務名807、重要度808)を業務一覧803に追加可能としても良い。
In steps S503 to S505, extraction of the business may be leaked, so
図9は、監視装置40が出力する対策選定画面の例を示す図である。対策選定画面901は、図7に示したステップS706で選定対象の候補が表示される画面であり、入出力部412で表示されても良く、システム構成902と対策候補一覧903から構成される。
FIG. 9 is a diagram showing an example of the countermeasure selection screen output by the
システム構成902は、制御システムの構成が表示される。また、対策候補一覧903は、対策ID904と、影響業務名905と、通信経路906と、重要度907と、影響内容908と、影響度909と、選定回数910から構成され、テーブルとして表示される。
The
対策ID904は、ステップS705で抽出された対策候補のIDであり、対策パターン格納部411に格納された情報である。影響業務名905、通信経路906、および重要度907は、対策パターン格納部411の情報において対策ID904のIDに対応する影響業務IDが得られ、得られた影響業務IDを基に業務パターン格納部410から得られる情報である。
The
影響内容908、影響度909、および選定回数910は、対策パターン格納部411の情報において対策ID904のIDに対応する情報である。なお、対策選定画面901に表示される内容は、図9の例に限定されるものではなく、図9に示した例の内容が含まれていれば良く、表示の位置と順序も図9の例に限定されるものではない。
The
図10は、監視装置40が出力する対策選定結果画面の例を示す図である。対策選定結果画面1001は、図7に示したステップS707で表示される画面であり、入出力部412で表示されても良く、業務影響表示1002と対策候補一覧1003から構成される。
FIG. 10 is a diagram showing an example of the countermeasure selection result screen output by the
対策候補一覧1003は、対策ID1004と、影響業務名1005と、通信経路1006と、重要度1007と、影響内容1008と、影響度1009と、選定回数1010から構成され、テーブルとして表示されるが、その内容は、対策候補一覧903と同じである。
The
対策候補一覧1003の中の選定された対策1011は、ユーザのカーソル操作等により選定された対策であり、選定された対策1011内に含まれる表示は、例えば表示色が変わる等しても良い。
The selected
図10の例では、対策ID1004の「001」が選定され、選択された対策は、通信経路1006の「制御装置A」と「制御装置B」の通信、「制御装置A」と「制御装置C」の通信、および「制御装置A」と「制御装置D」の通信が、影響内容1008の「停止」となる対策である。
In the example of FIG. 10, “001” of the
業務影響表示1002は、図8に示したシステム構成802と同じであるが、選定された対策を実行した場合の影響をユーザにわかりやすく表示するため、対策ID1004の「001」の対策に対応する通信経路1006の通信において影響内容1008の「停止」を示すバツ印が表示される。
The
なお、対策選定結果画面1001に表示される内容は、図10の例に限定されるものではなく、図10に示した例の内容が含まれていれば良く、表示の位置と順序も図10の例に限定されるものではない。
The contents displayed on the countermeasure
図11は、監視装置40のアラート格納部408に格納されるアラートの情報の例を示す図である。図7を用いて説明したネットワーク装置20と不正接続防止装置30により生成されるアラートおよび送信されるアラートが、図11に示すアラートと同じ情報を含んでも良い。
FIG. 11 is a diagram illustrating an example of alert information stored in the
アラートは、アラートの発生日時1101と、アラートの種別を示すアラート項目1102と、アラート項目に関連して出力されるアラート関連情報1103から構成される。アラート関連情報1103は、セキュリティインシデントの種別あるいはセキュリティインシデントの原因となった装置やネットワークの情報を含んでも良い。
The alert includes an alert generation date and
なお、アラートに含まれる情報は、図11の例に限定されるものではなく、図11に示した例の情報が含まれていれば良く、情報の順序も図11の例に限定されるものではない。 Note that the information included in the alert is not limited to the example of FIG. 11, and may be any information as long as the information of the example shown in FIG. 11 is included, and the order of the information is also limited to the example of FIG. is not.
図12は、ネットワーク装置20の通信ログ格納部208と監視装置40の通信ログ格納部409に格納される通信ログの情報の例を示す図である。図4を用いて説明したネットワーク装置20により送信される通信ログ群が、図12に示す通信ログと同じ情報を含んでも良い。
FIG. 12 is a diagram showing an example of communication log information stored in the communication
通信ログは、ネットワーク装置20が通信パケットを受信した受信日時1201と、受信した通信パケットのヘッダ1202から構成される。そして、ヘッダ1202は、送信元1203、送信先1204、プロトコル1205、ポート1206から構成される。
The communication log includes a
通信パケットの通信経路が、制御装置10−aから制御装置10−bに送信し、制御装置10−bから制御装置10−cへ送信するという経路の場合、最初に送信(受信)された通信パケットの送信元1203は制御装置10−a、送信先1204は制御装置10−bとなり、次に送信(受信)された通信パケットの送信元1203は制御装置10−b、送信先1204は制御装置10−cとなる。
In the case where the communication packet communication path is a path for transmitting from the control device 10-a to the control device 10-b and transmitting from the control device 10-b to the control device 10-c, the communication transmitted (received) first The
ポート1206は、送信先のポートであるが、送信元のポートであっても良い。なお、通信ログに含まれる情報は、図12の例に限定されるものではなく、図12に示した例の情報が含まれていれば良く、情報の順序も図12の例に限定されるものではない。
The
図13は、監視装置40の業務パターン格納部410に格納される業務パターンの情報の例を示す図である。業務パターンは、業務ID1301と、送信元1302と、送信先1303と、中継経路1304と、周期1305と、業務名1306と、重要度1307と、から構成される。これらの情報は、図5に示したステップS509にて設定される。
FIG. 13 is a diagram showing an example of the information of the task pattern stored in the task
業務ID1301は、業務毎に割り振られたIDである。通信パケットの通信経路が、制御装置10−aから制御装置10−bに送信し、制御装置10−bから制御装置10−cへ送信するという経路の場合、送信元1302は制御装置10−aとなり、送信先1303は制御装置10−cとなり、中継経路1304は制御装置10−bとなる。
The
通信パケットの通信経路が、さらに多くの制御装置を含む場合、中継経路1304に含まれる制御装置の情報が増える。周期1305は、ステップS505にて抽出された業務パターン間の実行周期である。業務名1306と重要度1307は、図8に示した入力欄809にそれぞれ入力された情報である。
If the communication route of the communication packet includes more control devices, information on control devices included in the
なお、業務パターンに含まれる情報は、図13の例に限定されるものではなく、図13に示した例の情報が含まれていれば良く、情報の順序も図13の例に限定されるものではない。 The information included in the work pattern is not limited to the example shown in FIG. 13, but may include information of the example shown in FIG. 13, and the order of the information is also limited to the example shown in FIG. It is not a thing.
図14は、監視装置40の対策パターン格納部411に格納される対策パターンの情報の例を示す図である。対策パターンは、原因内容1401、対策ID1402、対策機器1403、対策内容1404、影響業務ID1405、影響内容1406、影響度1407、および履歴1408から構成される。これらの中で影響業務ID1405、影響内容1406、影響度1407と履歴1408以外は、予め設定されていることが好ましい。
FIG. 14 is a diagram showing an example of information of the countermeasure pattern stored in the countermeasure
原因内容1401は、セキュリティインシデントの種別あるいはセキュリティインシデントの原因となった装置やネットワークの情報であり、アラートの情報と比較できる情報であることが好ましい。対策ID1402は、対策を識別するIDである。対策機器1403は、原因内容1401の原因への対策を実施する機器を識別する情報である。
The
対策内容1404は、対策機器1403で識別される機器に対して送信するコマンドや設定変更値の情報である。この情報には、対策により遮断される通信や機器および対策により動作の停止される機器等の情報が含まれていることが好ましい。
The
影響業務ID1405は、対策ID1403のIDの対策を実行した際に影響を受ける業務を識別するIDである。影響内容1406は、影響業務ID1405の業務IDそれぞれの業務が停止する、あるいは部分停止するといった影響の情報である。
The affected task ID 1405 is an ID for identifying the task affected when the measure of the ID of the
影響度1407は、図6に示したステップS605にて算出される値であり、影響を受ける業務の重要度や影響内容を基に算出される値である。履歴1408は、図7に示したステップS707にて選定された回数を、対策ID1402のID毎に計数するための情報である。
The degree of
このため、履歴1408に含まれる回数は、ステップS707にて選定されるたびに値の1が加算されても良く、入出力部412を介した入力に応じて値の0にリセットされても良い。履歴1408は、選定された回数以外に、業務IDと対策IDの組合せに関する過去の対策の他の情報が含まれても良い。
Therefore, the number of times included in the
なお、影響業務ID1405は、図6に示したステップS604にて推定されても良い。この場合、影響内容1406は、対策機器1403と対策内容1404に応じて推定されていても良い。一方、影響業務ID1405や影響内容1406を予め設定しても良い。この場合、ステップS604はスキップされても良い。
The influence job ID 1405 may be estimated in step S604 shown in FIG. In this case, the
また、対策パターンに含まれる情報は、図14の例に限定されるものではなく、図14に示した例の情報が含まれていれば良く、情報の順序も図14の例に限定されるものではない。 Further, the information included in the countermeasure pattern is not limited to the example of FIG. 14, and it is sufficient if the information of the example shown in FIG. 14 is included, and the order of the information is also limited to the example of FIG. It is not a thing.
以上で説明したように、制御システム向け対策立案システムは、通信ログに基づき実際の通信から通信経路を抽出し、業務パターンを抽出できる。そして、抽出された業務パターンに対して、業務の重要度の入力を受け付け、業務パターンの情報に含めることができる。これにより、予め設定された対策パターンと、抽出された業務パターンとの間で対策の影響度を算出することが可能となる。 As described above, the countermeasure planning system for control system can extract the communication path from the actual communication based on the communication log, and can extract the task pattern. Then, for the extracted work pattern, the input of the importance of the work can be received and included in the information of the work pattern. Thereby, it is possible to calculate the degree of influence of the countermeasure between the countermeasure pattern set in advance and the extracted work pattern.
また、セキュリティインシデントの発生を検出すると、対策候補を影響度とともに提供できる。これにより、業務への影響を加味した対策の選定が可能となる。この影響は、業務の通信経路とともに可視化することも可能となる。 In addition, when a security incident is detected, countermeasure candidates can be provided along with the degree of impact. This makes it possible to select measures taking into consideration the impact on operations. This influence can also be visualized along with the business communication path.
なお、本発明は、以上の実施形態に限定されるものではなく、その要旨の範囲内で様々な変形が可能である。例えば、ネットワーク装置や不正接続防止装置以外の検知装置が接続されている場合や、監視装置内にネットワーク装置や不正接続防止装置の機能が含まれている場合や、制御装置や監視装置やネットワーク装置や不正接続防止装置にネットワークとの通信機能が含まれておらず、別の装置を経由してネットワークと通信を行う場合等である。これらの実施形態の場合においてもシステム全体において行う処理に本質的な変更の必要はない。 The present invention is not limited to the above embodiments, and various modifications can be made within the scope of the invention. For example, when a detection device other than a network device or an unauthorized connection prevention device is connected, or when the function of the network device or an unauthorized connection prevention device is included in the monitoring device, or a control device, a monitoring device, or a network device And the case where the device for preventing unauthorized connection does not include a communication function with the network, but communicates with the network via another device. Also in the case of these embodiments, there is no need for essential changes in the processing performed in the entire system.
20:ネットワーク装置、30:不正接続防止装置、40:監視装置、402:原因分析部、403:対策立案部、405:業務抽出部、407:業務影響推定部、50:ネットワーク 20: Network device, 30: Incorrect connection prevention device, 40: Monitoring device, 402: Cause analysis unit, 403: Countermeasure planning unit, 405: Business extraction unit, 407: Business impact estimation unit, 50: Network
Claims (15)
複数の制御装置間で通信されるパケットを受信して中継し、受信したパケットの通信ログを収集して送信し、受信したパケットの不正を検知してアラートを送信するネットワーク装置、および
前記ネットワーク装置により送信された通信ログから、通信経路の情報を含む業務パターンを抽出する業務抽出部と、対策に関する機器の情報を含む対策パターンが格納される対策パターン格納部と、業務パターンに含まれる通信経路の情報と対策パターンに含まれる機器の情報に基づき影響業務を抽出し、影響業務を対策パターンに含める業務影響推定部と、前記ネットワーク装置により送信されたアラートと対策パターンに基づき対策候補を抽出する対策立案部と、影響業務を含めて対策候補を出力する入出力部と、を含む監視装置、を備えたこと
を特徴とする対策立案システム。 A countermeasure planning system for a control system,
A network device that receives and relays a packet communicated between a plurality of control devices, collects and transmits a communication log of the received packet, detects an irregularity of the received packet, and transmits an alert, and the network device A task extraction unit that extracts a task pattern including information on a communication route from the communication log transmitted by the server, a countermeasure pattern storage unit that stores a countermeasure pattern including information on a device related to a countermeasure, and a communication route included in the task pattern The affected business is extracted based on the information of the device and the information of the device included in the countermeasure pattern, and the business impact estimation unit including the affected business in the countermeasure pattern, and the countermeasure candidate extracted based on the alert transmitted by the network device It has a monitoring device that includes a countermeasure planning unit and an input / output unit that outputs countermeasure candidates including affected operations. And a countermeasure planning system characterized by
前記ネットワーク装置は、
送信元と送信先の情報と前記ネットワーク装置が受信した日時を含む通信ログを収集して送信し、
前記業務抽出部は、
前記ネットワーク装置により送信された通信ログの中で、第1の通信ログに含まれる送信先と第2の通信ログに含まれる送信元が一致する場合、前記第1の通信ログの送信元および送信先と前記第2の通信ログの送信先を通信経路として分析し、前記第1の通信ログに含まれる受信日時と前記第2の通信ログに含まれる受信日時の差分が予め設定された時間以内である場合、分析された通信経路の情報を含む業務パターンを抽出すること
を特徴とする対策立案システム。 The countermeasure planning system according to claim 1, wherein
The network device is
Communication logs including information on transmission source and transmission destination and the date and time received by the network device are collected and transmitted,
The task extraction unit
In the communication log transmitted by the network device, when the transmission destination included in the first communication log matches the transmission source included in the second communication log, the transmission source of the first communication log and transmission The destination of the first and second communication logs is analyzed as a communication path, and the difference between the reception date and time included in the first communication log and the reception date and time included in the second communication log is within a preset time If it is, a business task planning system including information of the analyzed communication path is extracted.
前記業務抽出部は、
分析された通信経路が一致する複数の業務パターンに関わる受信日時の周期を抽出すること
を特徴とする対策立案システム。 The countermeasure planning system according to claim 2, wherein
The task extraction unit
A countermeasure planning system characterized by extracting a cycle of reception date and time related to a plurality of business patterns in which analyzed communication paths coincide.
前記業務抽出部は、
分析された通信経路と抽出された周期を出力し、業務名と重要度を入力するように前記入出力部を制御し、分析された通信経路、抽出された周期、入力された業務名、および入力された重要度を、業務パターンに含めること
を特徴とする対策立案システム。 The countermeasure planning system according to claim 3, wherein
The task extraction unit
Output the analyzed communication path and the extracted cycle, control the input / output unit to input the task name and the importance, analyze the communication path, the extracted cycle, the input task name, and The countermeasure planning system characterized by including the inputted importance in the work pattern.
前記業務影響推定部は、
抽出された影響業務の影響度を、入力された重要度を用いて影響度を算出し、影響度を対策パターンに含めること
を特徴とする対策立案システム。 The countermeasure planning system according to claim 4, wherein
The task impact estimation unit
The countermeasure planning system characterized in that the influence degree of the extracted influence work is calculated using the inputted importance degree, and the influence degree is included in the countermeasure pattern.
前記対策パターン格納部は、
原因内容をさらに含む対策パターンが格納され、
前記対策立案部は、
前記ネットワーク装置により送信されたアラートに含まれる情報が、原因内容に該当する対策パターンを前記対策パターン格納部から抽出し、抽出された対策パターンに含まれる影響度を出力するように前記入出力部を制御し、抽出された対策パターンに含まれる影響業務の業務パターンに含まれる通信経路と業務名と重要度を出力するように前記入出力部を制御すること
を特徴とする対策立案システム。 The countermeasure planning system according to claim 5, wherein
The countermeasure pattern storage unit
The countermeasure pattern further including the cause content is stored,
The measure planning unit
The input / output unit is configured to extract the countermeasure pattern corresponding to the cause content from the countermeasure pattern storage unit and output the degree of influence included in the extracted countermeasure pattern, the information included in the alert transmitted by the network device And controlling the input / output unit to output the communication path, the task name, and the degree of importance included in the task pattern of the affected task included in the extracted countermeasure pattern.
前記対策パターン格納部は、
対策させる機器の情報と対策の内容をさらに含む対策パターンが格納され、
前記対策立案部は、
複数の対策パターンの出力に応じて、対策パターンの選定のための入力を受け付けるように前記入出力部を制御し、選定された対策パターンに含まれる対策させる機器の情報にしたがって対策の内容を送信するように制御すること
を特徴とする対策立案システム。 The countermeasure planning system according to claim 6, wherein
The countermeasure pattern storage unit
A countermeasure pattern is stored, which further includes the information of the device to be countered and the content of the counter,
The measure planning unit
The input / output unit is controlled to receive an input for selecting a countermeasure pattern according to the output of a plurality of countermeasure patterns, and the content of the countermeasure is transmitted according to the information of the device to be countermeasure contained in the selected countermeasure pattern A countermeasure planning system characterized in that it is controlled to
前記対策パターン格納部は、
履歴をさらに含む対策パターンが格納され、
前記対策立案部は、
前記ネットワーク装置により送信されたアラートに含まれる情報が、原因内容に該当する対策パターンを前記対策パターン格納部から抽出し、抽出された対策パターンに含まれる履歴を出力するように前記入出力部を制御し、選定された対策パターンに含まれる履歴を更新すること
を特徴とする対策立案システム。 The countermeasure planning system according to claim 7, wherein
The countermeasure pattern storage unit
The countermeasure pattern including the history is stored.
The measure planning unit
The input / output unit is configured to extract the countermeasure pattern corresponding to the cause content from the countermeasure pattern storage unit and to output the history included in the extracted countermeasure pattern, as the information included in the alert transmitted by the network device corresponds to the cause content A countermeasure planning system characterized by controlling and updating a history included in a selected countermeasure pattern.
前記ネットワーク装置は、
フィルタリングポリシに基づいて中継するパケットをフィルタリングし、
前記対策パターン格納部は、
対策させる機器として前記ネットワーク装置の情報を含み、対策内容としてフィルタリングポリシを含む対策パターンが格納され、
前記対策立案部は、選定された対策パターンに含まれる前記ネットワーク装置の情報にしたがって、前記ネットワーク装置へフィルタリングポリシを送信するように制御すること
を特徴とする対策立案システム。 The countermeasure planning system according to claim 8, wherein
The network device is
Filter relaying packets based on the filtering policy,
The countermeasure pattern storage unit
A countermeasure pattern is stored that includes information on the network device as a device to be countermeasured, and includes a filtering policy as a countermeasure content,
The countermeasure planning system is characterized in that the countermeasure planning unit performs control to transmit a filtering policy to the network device according to the information of the network device included in the selected countermeasure pattern.
前記対策パターン格納部は、
原因内容、対策させる機器、および対策の内容をさらに含む対策パターンが格納され、
前記対策立案部は、
前記ネットワーク装置により送信されたアラートに含まれる情報が、原因内容に該当する対策パターンを前記対策パターン格納部から抽出し、抽出された対策パターンに含まれる影響度に応じて、対策パターンに含まれる対策させる機器へ対策の内容を送信するように制御すること
を特徴とする対策立案システム。 The countermeasure planning system according to claim 5, wherein
The countermeasure pattern storage unit
Stores a countermeasure pattern that further includes the cause content, the device to be countered, and the content of the countermeasure.
The measure planning unit
Information included in the alert transmitted by the network device is extracted from the countermeasure pattern storage unit according to the degree of influence included in the countermeasure pattern storage unit, and the countermeasure pattern corresponding to the cause content is extracted. A countermeasure planning system characterized in that control is performed to transmit the content of the countermeasure to the device to be countermeasured.
受信した通信ログから、通信経路の情報を含む業務パターンを抽出する業務抽出部と、
対策に関する機器の情報を含む対策パターンが格納される対策パターン格納部と、
業務パターンに含まれる通信経路の情報と対策パターンに含まれる機器の情報に基づき影響業務を抽出し、影響業務を対策パターンに含める業務影響推定部と、
受信したアラートと対策パターンに基づき対策候補を抽出する対策立案部と、
影響業務を含めて対策候補を出力する入出力部と、を備えたこと
を特徴とする監視装置。 A monitoring device for the control system,
A task extraction unit that extracts a task pattern including information on a communication path from the received communication log;
A countermeasure pattern storage unit in which a countermeasure pattern including information on equipment related to the countermeasure is stored;
A task impact estimation unit that extracts affected tasks based on information on communication paths included in the task pattern and information on devices included in the countermeasure pattern, and includes affected tasks in the countermeasure pattern;
A countermeasure planning unit that extracts countermeasure candidates based on the received alert and the countermeasure pattern;
A monitoring apparatus comprising: an input / output unit that outputs countermeasure candidates including affected operations.
前記業務抽出部は、
送信元と送信先の情報と日時を含む通信ログを受信し、受信した通信ログの中で、第1の通信ログに含まれる送信先と第2の通信ログに含まれる送信元が一致する場合、前記第1の通信ログの送信元および送信先と前記第2の通信ログの送信先を通信経路として分析し、前記第1の通信ログに含まれる日時と前記第2の通信ログに含まれる日時の差分が予め設定された時間以内である場合、分析された通信経路の情報を含む業務パターンを抽出すること
を特徴とする監視装置。 The monitoring device according to claim 11, wherein
The task extraction unit
When a communication log including information on a transmission source and a transmission destination and date and time is received and the transmission destination included in the first communication log matches the transmission source included in the second communication log among the received communication logs The transmission source and the transmission destination of the first communication log and the transmission destination of the second communication log are analyzed as a communication path, and the date and time included in the first communication log and the second communication log are included. A monitoring apparatus characterized by extracting a work pattern including information of an analyzed communication path when a difference between date and time is within a preset time.
前記業務抽出部は、
分析された通信経路が一致する複数の業務パターンに関わる日時の周期を抽出すること
を特徴とする監視装置。 13. The monitoring device according to claim 12, wherein
The task extraction unit
A monitoring apparatus characterized by extracting a cycle of date and time related to a plurality of business patterns in which analyzed communication paths coincide.
前記業務抽出部は、
分析された通信経路と抽出された周期を出力し、業務名と重要度を入力するように前記入出力部を制御し、分析された通信経路、抽出された周期、入力された業務名、および入力された重要度を、業務パターンに含めること
を特徴とする監視装置。 14. The monitoring device according to claim 13, wherein
The task extraction unit
Output the analyzed communication path and the extracted cycle, control the input / output unit to input the task name and the importance, analyze the communication path, the extracted cycle, the input task name, and The monitoring apparatus characterized by including the input importance in a work pattern.
前記業務影響推定部は、
抽出された影響業務の影響度を、入力された重要度を用いて影響度を算出し、影響度を対策パターンに含めること
を特徴とする監視装置。 15. The monitoring device according to claim 14, wherein
The task impact estimation unit
A monitoring apparatus characterized by calculating the degree of influence using the input degree of importance, and including the degree of influence in a countermeasure pattern, using the degree of influence of the extracted influence business.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017206707A JP6869869B2 (en) | 2017-10-26 | 2017-10-26 | Countermeasure planning system and monitoring device for control system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017206707A JP6869869B2 (en) | 2017-10-26 | 2017-10-26 | Countermeasure planning system and monitoring device for control system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019080211A true JP2019080211A (en) | 2019-05-23 |
JP6869869B2 JP6869869B2 (en) | 2021-05-12 |
Family
ID=66628023
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017206707A Active JP6869869B2 (en) | 2017-10-26 | 2017-10-26 | Countermeasure planning system and monitoring device for control system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6869869B2 (en) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004336130A (en) * | 2003-04-30 | 2004-11-25 | Ntt Data Corp | Network state monitoring system and program |
JP2013080354A (en) * | 2011-10-03 | 2013-05-02 | Hitachi Ltd | Monitoring device and monitoring method |
WO2013168229A1 (en) * | 2012-05-08 | 2013-11-14 | 富士通株式会社 | Network system, maintenance work management method, processing device, and program |
JP2014127887A (en) * | 2012-12-27 | 2014-07-07 | Hitachi Ltd | Communication control device |
JP2015188181A (en) * | 2014-03-27 | 2015-10-29 | 富士通株式会社 | Network management method, network management system, and network management device |
JP2016171453A (en) * | 2015-03-12 | 2016-09-23 | 株式会社日立製作所 | Incident detection system |
US20160366182A1 (en) * | 2015-06-10 | 2016-12-15 | Hitachi, Ltd. | Evaluation system |
-
2017
- 2017-10-26 JP JP2017206707A patent/JP6869869B2/en active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004336130A (en) * | 2003-04-30 | 2004-11-25 | Ntt Data Corp | Network state monitoring system and program |
JP2013080354A (en) * | 2011-10-03 | 2013-05-02 | Hitachi Ltd | Monitoring device and monitoring method |
WO2013168229A1 (en) * | 2012-05-08 | 2013-11-14 | 富士通株式会社 | Network system, maintenance work management method, processing device, and program |
JP2014127887A (en) * | 2012-12-27 | 2014-07-07 | Hitachi Ltd | Communication control device |
JP2015188181A (en) * | 2014-03-27 | 2015-10-29 | 富士通株式会社 | Network management method, network management system, and network management device |
JP2016171453A (en) * | 2015-03-12 | 2016-09-23 | 株式会社日立製作所 | Incident detection system |
US20160366182A1 (en) * | 2015-06-10 | 2016-12-15 | Hitachi, Ltd. | Evaluation system |
JP2017005482A (en) * | 2015-06-10 | 2017-01-05 | 株式会社日立製作所 | Evaluation system |
Also Published As
Publication number | Publication date |
---|---|
JP6869869B2 (en) | 2021-05-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10789118B2 (en) | Information processing device and error detection method | |
CN106133740B (en) | Log Analysis System | |
CN104509034A (en) | Pattern consolidation to identify malicious activity | |
CN106104556A (en) | Log analysis system | |
JP6523582B2 (en) | INFORMATION PROCESSING APPARATUS, INFORMATION PROCESSING METHOD, AND INFORMATION PROCESSING PROGRAM | |
EP3512179A1 (en) | Cyber security framework for internet-connected embedded devices | |
WO2018211827A1 (en) | Assessment program, assessment method, and information processing device | |
JP6831763B2 (en) | Incident analyzer and its analysis method | |
JP6233414B2 (en) | Information processing apparatus, filtering system, filtering method, and filtering program | |
JP5883770B2 (en) | Network abnormality detection system and analysis device | |
EP3787240B1 (en) | Device for anomaly detection, method and program for anomaly detection | |
JP6067195B2 (en) | Information processing apparatus, information processing method, and program | |
JP2017211806A (en) | Communication monitoring method, security management system, and program | |
KR101079036B1 (en) | Apparatus and method of detecting anomaly in control system network | |
JP2019080211A (en) | Countermeasure planning system and monitoring device for control system | |
CN108141372A (en) | For the system and method based on network flow detection to the attack of mobile ad hoc networks | |
WO2018138793A1 (en) | Attack/abnormality detection device, attack/abnormality detection method, and attack/abnormality detection program | |
JP2019022099A (en) | Security policy information management system, security policy information management method, and program | |
JP6269004B2 (en) | Monitoring support program, monitoring support method, and monitoring support apparatus | |
JP6890073B2 (en) | Information collection device, information collection system | |
CN114189361A (en) | Situation awareness method, device and system for defending threats | |
US20190018959A1 (en) | Diagnosis device, diagnosis method, and non-transitory recording medium | |
US20180276064A1 (en) | Diagnosis device, diagnosis method, and non-volatile recording medium | |
WO2019225232A1 (en) | Monitoring device, monitoring system, and monitoring method | |
JP2009033276A (en) | Control network system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200325 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210202 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210323 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210414 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6869869 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |