JP2020053928A - 不正アクセス監視装置および方法 - Google Patents
不正アクセス監視装置および方法 Download PDFInfo
- Publication number
- JP2020053928A JP2020053928A JP2018184048A JP2018184048A JP2020053928A JP 2020053928 A JP2020053928 A JP 2020053928A JP 2018184048 A JP2018184048 A JP 2018184048A JP 2018184048 A JP2018184048 A JP 2018184048A JP 2020053928 A JP2020053928 A JP 2020053928A
- Authority
- JP
- Japan
- Prior art keywords
- unauthorized access
- time zone
- packet
- unit
- monitoring device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
近年、このようなビルシステムなどの施設管理システムを対象とした、いわゆるクラッキングと呼ばれる不正アクセスに関するニュースが、年々増加している。このような不正アクセスにより設備管理システムが、システム破壊、情報窃取、Webページ改ざんなどのサイバー攻撃を受けると、その影響が施設全体に広がり、甚大な被害を被ってしまうことが予想される。
まず、本発明の原理について説明する。
一般に、クラッキングにおいて、最初に行われる行為は事前調査である。例えば、施設に設置されている各種設備を、通信回線に接続された複数の機器を用いて管理する施設管理システムにおいて、いずれかの機器を乗っ取って他の機器に不正アクセスを行う場合、事前調査において、通信回線にどのような機器が接続されているか調査する。
[不正アクセス監視装置]
まず、図1を参照して、本実施の形態にかかる不正アクセス監視装置10について説明する。図1は、不正アクセス監視装置の構成を示すブロック図である。
また、ビルを利用する人の人数は、平日、休日、祭日などの日種によっても変化するため、このような日種を時間帯に含めてもよい。あるいは、推定モデルの変数として日種を加えてもよく、日種ごとに推定モデルを作成して、切り替えて用いるようにしてもよい。
また、推定モデル自体を特定区画ごとに個別に作成してもよい。この際、特定区画に配置されている機器20のパケット数を変数として用いるなど、特定区画と機器20との関連性に基づいて各推定モデルを作成してもよい。これにより、高い精度でパケット数を推定できる。
例えば、対象時間帯t1の検出パケット数Y(t1)は、t1における上限正常値EU(t1)と下限正常値EL(t)との間に含まれているため、正常すなわち不正アクセスなしと判定される。
また、対象時間帯t3におけるY(t3)は、EU(t3)を下回っており、クラッキングにより機器20で通信遮断や機器20の故障などが発生して、正常状態よりパケット数が低減している可能性があるため、異常すなわち不正アクセスありと判定される。
次に、本実施の形態にかかる不正アクセス監視装置10の動作について説明する。
まず、図4を参照して、不正アクセス監視装置10の不正アクセス監視動作について説明する。図4は、不正アクセス監視処理を示すフローチャートである。
不正アクセス監視装置10は、予め設定されている対象時間帯tの到来に応じて、図4の不正アクセス監視処理を実行する。なお、不正アクセス監視処理の実行に際し、記憶部12には、予め推定モデルが保存されているものとする。
続いて、正常値特定部15は、記憶部12で記憶されている特定区画Aに関する推定モデルと区画人数取得部14で取得した対象時間帯tにおける区画人数X(t)とに基づいて、正常状態での対象時間帯tに検出される監視対象パケットのパケット数Y(t)を推定し、当該パケット数Y(t)に関する変動幅を加えた値、すなわち上限正常値EU(t)および下限正常値EL(t)からなる正常範囲E(t)を特定する(ステップS103)。
ここで、検出パケット数Y(t)が正常範囲E(t)内であれば(ステップS104:YES)、不正アクセスなしと判定し(ステップS105)、一連の不正アクセス判定処理を終了する。
得られた判定結果は、記憶部12へ保存されるが、不正アクセス監視装置10の表示部(図示せず)で表示してもよく、通信I/F部11から通信回線Lを介して上位装置(図示せず)へ通知してもよい。
次に、図5を参照して、不正アクセス監視装置10の推定モデル更新動作について説明する。図5は、推定モデル更新処理を示すフローチャートである。
不正アクセス監視装置10は、予め設定されている更新処理タイミングの到来に応じて、図5の推定モデル更新処理を実行する。更新処理タイミングは、例えば1日1回、次の日の0時など、前日の新たな各時間帯における検出パケット数Y(t)や区画人数X(t)が揃ったタイミングが相応しい。
続いて、推定モデル更新部17は、記憶部12に保存されている推定モデルを新たな推定モデルMで更新し(ステップS113)、一連の推定モデル更新処理を終了する。
このように、本実施の形態は、記憶部12が、不正アクセスのない正常状態における各時間帯tに、通信回線Lから検出される監視対象パケットのパケット数Y(t)(検出状況)を示す推定モデルMを記憶し、不正アクセス判定部16が、対象時間帯tにパケット検出部13で検出された監視対象パケットの検出パケット数Y(t)と、正常値特定部15で特定された対象時間帯tにおける正常値E(t)とを比較し、得られた比較結果に基づいて不正アクセスの有無を判定するようにしたものである。
これにより、区画人数の増減によるパケット数の増減に対応することができ、精度よく不正アクセスの有無を判定することができる。
これにより、推定モデルの誤差に対応することができ、精度よく不正アクセスの有無を判定することができる。
特に、ビルシステムでは、IoT(Internet of Things)化が進む連れて、様々な機器が追加されるため、検出されるパケット数も変化し、同じ推定モデルを長期間にわたり用いることはできない。このように推定モデルを更新することにより、機器20の追加や取り外しによるパケット数の増減に対応することができ、精度よく不正アクセスの有無を判定することができる。
これにより、機器20の追加や取り外しによるパケット数の増減に対応することができるとともに、区画人数の増減によるパケット数の増減に対応することができ、より高い精度で不正アクセスの有無を判定することができる。
これにより、システムメンテナンス時に機器20との間でやり取りされるメンテナンス用パケットなど、正常状態には存在しない正規のパケットを除外することができ、精度よく不正アクセスの有無を判定することができる。
これにより、不正アクセスの有無に加えて、不正アクセスを行った機器20の候補を特定することができ、不正アクセスに対して迅速な対応を行うことができる。
これにより、不正アクセスの有無に加えて、不正アクセスを被った機器20の候補を特定することができ、不正アクセスに対して迅速な対応を行うことができる。
以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しうる様々な変更をすることができる。
Claims (9)
- 施設に設置されている各種設備を、通信回線に接続された複数の機器を用いて管理する施設管理システムで用いられて、前記通信回線を介して前記複数の機器間でやり取りされる監視対象パケットを検出することにより、前記複数の機器に対する不正アクセスを監視する不正アクセス監視装置であって、
不正アクセスのない正常状態における各時間帯に、前記通信回線から検出される前記監視対象パケットの検出状況を示す推定モデルを記憶するように構成された記憶部と、
前記通信回線を介して前記複数の機器間でやり取りされる監視対象パケットを検出するように構成されたパケット検出部と、
前記推定モデルに基づいて、前記正常状態での指定時間帯に検出される前記監視対象パケットの検出状況を推定し、得られた検出状況を正常値として特定するように構成された正常値特定部と、
対象時間帯に前記パケット検出部で検出された前記監視対象パケットの検出状況と、前記正常値特定部で特定された前記対象時間帯における正常値とを比較し、得られた比較結果に基づいて前記不正アクセスの有無を判定するように構成された不正アクセス判定部と
を備えることを特徴とする不正アクセス監視装置。 - 請求項1に記載の不正アクセス監視装置において、
前記施設に設けられている特定区画に存在する区画人数を取得する区画人数取得部をさらに備え、
前記記憶部は、前記推定モデルとして、前記正常状態における各時間帯に、前記通信回線から検出される前記監視対象パケットの検出状況と、各時間帯に前記施設内の特定区画に存在する人の区画人数との関係を示す推定モデルを記憶し、
前記正常値特定部は、前記区画人数取得部で取得した前記指定時間帯における区画人数と前記推定モデルとに基づいて、前記正常状態での前記指定時間帯に検出される前記監視対象パケットの検出状況を推定し、得られた検出状況を前記正常値として特定する
ことを特徴とする不正アクセス監視装置。 - 請求項1または請求項2に記載の不正アクセス監視装置において、
前記正常値特定部は、前記正常値を特定する際、推定した前記正常状態での前記指定時間帯に検出される前記監視対象パケットの検出状況に、当該検出状況に関する変動幅を加えた値を、前記正常値として特定することを特徴とする不正アクセス監視装置。 - 請求項1に記載の不正アクセス監視装置において、
前記不正アクセス判定部で前記不正アクセスがないと判定された時間帯に、前記パケット検出部で新たに検出された前記監視対象パケットの検出状況に基づいて、前記推定モデルを更新するように構成された推定モデル更新部をさらに備えることを特徴とする不正アクセス監視装置。 - 請求項2に記載の不正アクセス監視装置において、
前記不正アクセス判定部で前記不正アクセスがないと判定された時間帯に、前記パケット検出部で新たに検出された前記監視対象パケットの検出状況と、前記区画人数取得部で取得した前記時間帯における前記区画人数とに基づいて、前記推定モデルを更新するように構成された推定モデル更新部をさらに備えることを特徴とする不正アクセス監視装置。 - 請求項1〜請求項5のいずれかに記載の不正アクセス監視装置において、
前記パケット検出部は、前記通信回線から検出した前記監視対象パケットのうち、前記記憶部の除外リストに登録されている識別情報を含むパケットを除外することを特徴とする不正アクセス監視装置。 - 請求項1〜請求項6のいずれかに記載の不正アクセス監視装置において、
前記不正アクセス判定部は、前記機器のうち、前記不正アクセスありと判定した前記対象時間帯における前記監視対象パケットの送信数または受信数が大きい順に、規定数分の機器を不正アクセスを行った機器の候補として特定することを特徴とする不正アクセス監視装置。 - 請求項1〜請求項7のいずれかに記載の不正アクセス監視装置において、
前記不正アクセス判定部は、前記機器のうち、前記不正アクセスありと判定した前記対象時間帯における前記監視対象パケットの送信数または受信数が小さい順に、規定数分の機器を不正アクセスを被った機器の候補として特定することを特徴とする不正アクセス監視装置。 - 施設に設置されている各種設備を、通信回線に接続された複数の機器を用いて管理する施設管理システムで用いられる不正アクセス監視装置で、前記通信回線を介して前記複数の機器間でやり取りされる監視対象パケットを検出することにより、前記複数の機器に対する不正アクセスを監視するための不正アクセス監視方法であって、
記憶部が、不正アクセスのない正常状態における各時間帯に、前記通信回線から検出される前記監視対象パケットの検出状況を示す推定モデルを記憶する記憶ステップと、
パケット検出部が、前記通信回線を介して前記複数の機器間でやり取りされる監視対象パケットを検出するパケット検出ステップと、
正常値特定部が、前記推定モデルに基づいて、前記正常状態での指定時間帯に検出される前記監視対象パケットの検出状況を推定し、得られた検出状況を正常値として特定する正常値特定ステップと、
不正アクセス判定部が、対象時間帯に前記パケット検出部で検出された前記監視対象パケットの検出状況と、前記正常値特定部で特定された前記対象時間帯における正常値とを比較し、得られた比較結果に基づいて前記不正アクセスの有無を判定する不正アクセス判定ステップと
を備えることを特徴とする不正アクセス監視方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018184048A JP7125317B2 (ja) | 2018-09-28 | 2018-09-28 | 不正アクセス監視装置および方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018184048A JP7125317B2 (ja) | 2018-09-28 | 2018-09-28 | 不正アクセス監視装置および方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020053928A true JP2020053928A (ja) | 2020-04-02 |
JP7125317B2 JP7125317B2 (ja) | 2022-08-24 |
Family
ID=69997723
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018184048A Active JP7125317B2 (ja) | 2018-09-28 | 2018-09-28 | 不正アクセス監視装置および方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7125317B2 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022137916A1 (ja) * | 2020-12-24 | 2022-06-30 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 閾値算出装置、異常検知装置、閾値算出方法および異常検知方法 |
JP7258257B1 (ja) * | 2022-08-08 | 2023-04-14 | 三菱電機株式会社 | プログラマブルコントローラ、例外アクセス学習方法及びプログラム |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007074383A (ja) * | 2005-09-07 | 2007-03-22 | Yokogawa Electric Corp | 情報システム |
JP2007300263A (ja) * | 2006-04-28 | 2007-11-15 | Yokogawa Electric Corp | ネットワーク異常検出装置およびネットワーク異常検出方法 |
JP2015012594A (ja) * | 2013-07-02 | 2015-01-19 | 日本電信電話株式会社 | ネットワークシステム、通信制御方法、通信制御装置、およびプログラム |
WO2016075825A1 (ja) * | 2014-11-14 | 2016-05-19 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及びプログラム |
JP2017208598A (ja) * | 2016-05-16 | 2017-11-24 | 株式会社日立製作所 | 不正通信検知システム及び不正通信検知方法 |
-
2018
- 2018-09-28 JP JP2018184048A patent/JP7125317B2/ja active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007074383A (ja) * | 2005-09-07 | 2007-03-22 | Yokogawa Electric Corp | 情報システム |
JP2007300263A (ja) * | 2006-04-28 | 2007-11-15 | Yokogawa Electric Corp | ネットワーク異常検出装置およびネットワーク異常検出方法 |
JP2015012594A (ja) * | 2013-07-02 | 2015-01-19 | 日本電信電話株式会社 | ネットワークシステム、通信制御方法、通信制御装置、およびプログラム |
WO2016075825A1 (ja) * | 2014-11-14 | 2016-05-19 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及びプログラム |
JP2017208598A (ja) * | 2016-05-16 | 2017-11-24 | 株式会社日立製作所 | 不正通信検知システム及び不正通信検知方法 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022137916A1 (ja) * | 2020-12-24 | 2022-06-30 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 閾値算出装置、異常検知装置、閾値算出方法および異常検知方法 |
JP7258257B1 (ja) * | 2022-08-08 | 2023-04-14 | 三菱電機株式会社 | プログラマブルコントローラ、例外アクセス学習方法及びプログラム |
Also Published As
Publication number | Publication date |
---|---|
JP7125317B2 (ja) | 2022-08-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10187411B2 (en) | Method for intrusion detection in industrial automation and control system | |
US9378634B1 (en) | Leveraging neighbors' wireless access points in wireless-signal-variation-based physical intruder detection systems | |
US10613504B2 (en) | Methods and systems for determining occupancy of a zone in a building | |
KR101645598B1 (ko) | 네트워크에서의 침입 탐지 방법 | |
CN107077472A (zh) | 分布式处理系统 | |
KR101986838B1 (ko) | LoRa망 기반의 원격 센서 제어 및 계측용 딥러닝 안전관리시스템 | |
EP3512179B1 (en) | Cyber security framework for internet-connected embedded devices | |
JPWO2018216197A1 (ja) | 異常重要度算出システム、異常重要度算出装置、及び異常重要度算出プログラム | |
CN108270772A (zh) | 监视多个联网设备的监视装置、设备监视系统和方法 | |
US10504351B2 (en) | Method and apparatus for detecting abnormal event related to person at home | |
JP7125317B2 (ja) | 不正アクセス監視装置および方法 | |
CN107533492B (zh) | 中继装置和程序 | |
AU2019277439B2 (en) | Abnormality detection apparatus, abnormality detection method, and abnormality detection program | |
US10681059B2 (en) | Relating to the monitoring of network security | |
JP2019168869A (ja) | インシデント検知システムおよびその方法 | |
US10482480B2 (en) | Occupancy interaction detection | |
JP6890073B2 (ja) | 情報収集装置、情報収集システム | |
JP6835526B2 (ja) | 不正アクセス監視装置および方法 | |
JP5521560B2 (ja) | コンテキスト情報通信システム、コンテキスト情報処理装置、プログラム及び方法 | |
US20170257259A1 (en) | Computer system, gateway apparatus, and server apparatus | |
WO2015126672A1 (en) | Motion tracking | |
US20230216873A1 (en) | Detection system, detection method, and recording medium | |
KR20180085567A (ko) | 사물 인터넷에서의 이상현상 감지장치 | |
US10997834B2 (en) | Assessing the security situation by means of IoT activity sensors | |
US10372577B2 (en) | Monitoring system control unit coupled to device database via the internet |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210728 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220420 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220426 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220623 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220719 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220812 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7125317 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |