JP2021072586A - Unauthorized connection detection device, unauthorized connection detection system, and unauthorized connection detection method - Google Patents

Unauthorized connection detection device, unauthorized connection detection system, and unauthorized connection detection method Download PDF

Info

Publication number
JP2021072586A
JP2021072586A JP2019199640A JP2019199640A JP2021072586A JP 2021072586 A JP2021072586 A JP 2021072586A JP 2019199640 A JP2019199640 A JP 2019199640A JP 2019199640 A JP2019199640 A JP 2019199640A JP 2021072586 A JP2021072586 A JP 2021072586A
Authority
JP
Japan
Prior art keywords
packets
network
transmitted
unauthorized connection
received
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2019199640A
Other languages
Japanese (ja)
Inventor
義孝 岡山
Yoshitaka Okayama
義孝 岡山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Azbil Corp
Original Assignee
Azbil Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Azbil Corp filed Critical Azbil Corp
Priority to JP2019199640A priority Critical patent/JP2021072586A/en
Publication of JP2021072586A publication Critical patent/JP2021072586A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

To detect unauthorized connection in a network with a simpler configuration.SOLUTION: An unauthorized connection detection device 1 includes an acquisition unit 11 for acquiring transmission packet numbers of S2a, S2b and S2c and reception packet numbers R2a, R2b, R2c which controllers 2a, 2b and 2c allowed to connect to a network NW transmit in the network NW by unicast communication respectively, an aggregation unit 12 for aggregating a transmission packet number SNW and a reception packet number RNW indicating the total numbers of packets which the controllers 2a, 2b and 2c transmit in the network by unicast communication from the acquired transmission packet numbers S2a, S2b, S2c and the acquired reception packet numbers R2a, R2b, R2c, and a determination unit 13 for determining that an unauthorized connection has occurred in the network NW when the aggregated transmission packet number SNW and the aggregated reception packet number RNW are different from each other.SELECTED DRAWING: Figure 2

Description

本発明は、不正接続検知装置、不正接続検知システム、および不正接続検知方法に関する。 The present invention relates to an unauthorized connection detection device, an unauthorized connection detection system, and an unauthorized connection detection method.

従来から、ビル建物に設置されている各種設備を管理する設備管理システムが知られている。従来の設備管理システムは、設備ごとに独立したシステム構成であり、また、設備管理システムの制御ネットワークが非IPなどであるクローズドなネットワーク環境に適用されていた。 Conventionally, a facility management system for managing various facilities installed in a building has been known. The conventional equipment management system has an independent system configuration for each equipment, and has been applied to a closed network environment in which the control network of the equipment management system is non-IP or the like.

近年、IoTの活用や他のシステムとの連携が進み、従来の設備管理システムは外部からアクセス可能なオープンなネットワーク環境に変わりつつある。例えば、BACnet(Building Automation and Control Networking Protocol:登録商標)と呼ばれるインテリジェントビル用ネットワークのための通信プロトコル規格を利用した、いわゆるBACnetシステムが普及しつつある。 In recent years, the utilization of IoT and cooperation with other systems have progressed, and the conventional equipment management system is changing to an open network environment that can be accessed from the outside. For example, a so-called BACnet system using a communication protocol standard for an intelligent building network called BACnet (Building Automation and Control Protocol: registered trademark) is becoming widespread.

例えば、特許文献1は、設備に設けられているフィールド機器からデータを収集するコントローラと、コントローラがBACnetなどの通信ネットワークを介して複数接続され、フィールド機器からのデータによって設備に関する情報を表示する中央監視装置とを有する中央監視システムを開示している。 For example, Patent Document 1 has a center in which a controller that collects data from a field device provided in a facility and a plurality of controllers are connected via a communication network such as BACnet, and information about the facility is displayed by data from the field device. It discloses a central monitoring system with a monitoring device.

このように、従来のクローズドなネットワーク環境で運用されていた設備管理システムにおいて、オープンな通信プロトコルが採用されるようになったことで、外部からの不正アクセスなどへの対策が求められている。例えば、悪意のある第三者が何らかの方法で設備管理システムのネットワークに不正アクセスした場合に、セキュリティ対策が十分でない場合には、不正にシステムが操作される可能性もある。 As described above, since the open communication protocol has been adopted in the equipment management system operated in the conventional closed network environment, countermeasures against unauthorized access from the outside are required. For example, if a malicious third party illegally accesses the network of the equipment management system in some way and the security measures are not sufficient, the system may be operated illegally.

特開2007−199798号公報JP-A-2007-199798

本発明は、上述した課題を解決するためになされたものであり、より簡易な構成でネットワークにおける不正接続を検知することを目的とする。 The present invention has been made to solve the above-mentioned problems, and an object of the present invention is to detect an unauthorized connection in a network with a simpler configuration.

上述した課題を解決するために、本発明に係る不正接続検知装置は、ネットワークへの接続が許可されている複数の通信機器各々がユニキャスト通信により前記ネットワーク内で送信したパケットの数を示す第1送信パケット数および受信したパケットの数を示す第1受信パケット数を取得するように構成された取得部と、取得された前記複数の通信機器各々の前記第1送信パケット数および前記第1受信パケット数から、前記ネットワーク内で前記複数の通信機器がユニキャスト通信により送信したパケットの総数を示す第2送信パケット数および受信したパケットの総数を示す第2受信パケット数を集計するように構成された集計部と、集計された前記第2送信パケット数と前記第2受信パケット数とを比較して、前記第2送信パケット数と前記第2受信パケット数とが異なる場合に、前記ネットワークにおいて不正接続が発生したと判断するように構成された判断部とを備える。 In order to solve the above-mentioned problems, the unauthorized connection detection device according to the present invention indicates the number of packets transmitted in the network by each of a plurality of communication devices permitted to connect to the network by unicast communication. An acquisition unit configured to acquire a first received packet number indicating the number of one transmitted packet and the number of received packets, and the number of the first transmitted packet and the first reception of each of the acquired plurality of communication devices. From the number of packets, the number of second transmitted packets indicating the total number of packets transmitted by the plurality of communication devices by unicast communication in the network and the number of second received packets indicating the total number of received packets are aggregated. When the total number of the second transmitted packets and the total number of the second received packets are compared with the totaled unit and the number of the second transmitted packets and the number of the second received packets are different, the network is invalid. It is provided with a determination unit configured to determine that a connection has occurred.

また、本発明に係る不正接続検知装置において、前記判断部は、前記第2送信パケット数が前記第2受信パケット数よりも少ない場合に、前記ネットワークにおいて不正接続が発生したと判断してもよい。 Further, in the unauthorized connection detection device according to the present invention, the determination unit may determine that an unauthorized connection has occurred in the network when the number of the second transmission packets is smaller than the number of the second reception packets. ..

また、本発明に係る不正接続検知装置において、前記第1送信パケット数および前記第1受信パケット数は、前記複数の通信機器各々においてそれぞれカウントされ、前記取得部は、前記複数の通信機器各々でカウントされた前記第1送信パケット数および前記第1受信パケット数を、前記ネットワークを介して前記複数の通信機器各々から取得してもよい。 Further, in the unauthorized connection detection device according to the present invention, the number of the first transmission packets and the number of the first reception packets are counted in each of the plurality of communication devices, and the acquisition unit is in each of the plurality of communication devices. The counted number of the first transmission packets and the number of the first reception packets may be acquired from each of the plurality of communication devices via the network.

また、本発明に係る不正接続検知装置において、前記ネットワーク内でユニキャスト通信により自装置が送信したパケットの数を示す第3送信パケット数および受信したパケットの数を示す第3受信パケット数をカウントするように構成された第3パケットカウンタをさらに備え、前記集計部は、前記第1送信パケット数、前記第1受信パケット数、前記第3送信パケット数、および前記第3受信パケット数に基づいて、前記ネットワーク内でユニキャスト通信により送信されたパケットの総数および受信されたパケットの総数を示す前記第2送信パケット数および前記第2受信パケット数を集計してもよい。 Further, in the unauthorized connection detection device according to the present invention, the number of third transmitted packets indicating the number of packets transmitted by the own device by unicast communication in the network and the number of third received packets indicating the number of received packets are counted. A third packet counter configured to perform the above is further provided, and the totaling unit is based on the number of the first transmitted packets, the number of the first received packets, the number of the third transmitted packets, and the number of the third received packets. , The number of the second transmitted packet and the number of the second received packet indicating the total number of packets transmitted by unicast communication and the total number of received packets in the network may be totaled.

また、本発明に係る不正接続検知装置において、前記判断部による判断結果を表示画面に表示する表示装置をさらに備えていてもよい。 Further, the unauthorized connection detection device according to the present invention may further include a display device that displays the determination result by the determination unit on the display screen.

また、本発明に係る不正接続検知装置において、前記複数の通信機器各々の識別情報を記憶するように構成された記憶部をさらに備え、前記取得部は、前記識別情報を有する前記複数の通信機器各々の前記第1送信パケット数および前記第1受信パケット数を取得してもよい。 Further, the unauthorized connection detection device according to the present invention further includes a storage unit configured to store identification information of each of the plurality of communication devices, and the acquisition unit is the plurality of communication devices having the identification information. The number of the first transmitted packets and the number of the first received packets of each may be acquired.

また、本発明に係る不正接続検知装置において、前記ネットワークは、ビルディングオードメーションシステムに設けられたネットワークを含んでいてもよい。 Further, in the unauthorized connection detection device according to the present invention, the network may include a network provided in the building audation system.

上述した課題を解決するために、本発明に係る不正接続検知システムは、ネットワークへの接続が許可されている複数の通信機器と、前記複数の通信機器と前記ネットワークを介して接続されている不正接続検知装置とを備え、前記複数の通信機器各々は、前記ネットワーク内でユニキャスト通信により送信したパケットの数を示す第1送信パケット数および受信したパケットの数を示す第1受信パケット数をカウントするように構成された第1パケットカウンタと、前記第1パケットカウンタによってカウントされた前記第1送信パケット数および前記第1受信パケット数を記憶するように構成された記憶部とを有し、前記不正接続検知装置は、前記第1送信パケット数および前記第1受信パケット数を前記ネットワークを介して前記複数の通信機器各々から取得するように構成された取得部と、取得された前記複数の通信機器各々の前記第1送信パケット数および前記第1受信パケット数から、前記ネットワーク内で前記複数の通信機器がユニキャスト通信により送信したパケットの総数を示す第2送信パケット数および受信したパケットの総数を示す第2受信パケット数を集計するように構成された集計部と、集計された前記第2送信パケット数と前記第2受信パケット数とを比較して、前記第2送信パケット数と前記第2受信パケット数とが異なる場合に、前記ネットワークにおいて不正接続が発生したと判断するように構成された判断部とを備える。 In order to solve the above-mentioned problems, the unauthorized connection detection system according to the present invention includes a plurality of communication devices permitted to be connected to a network, and the plurality of communication devices are connected to each other via the network. Each of the plurality of communication devices includes a connection detection device, and counts the number of first transmitted packets indicating the number of packets transmitted by unicast communication in the network and the number of first received packets indicating the number of received packets. It has a first packet counter configured to perform the above, and a storage unit configured to store the number of the first transmitted packets and the number of the first received packets counted by the first packet counter. The unauthorized connection detection device includes an acquisition unit configured to acquire the number of first transmission packets and the number of first reception packets from each of the plurality of communication devices via the network, and the plurality of acquired communications. From the number of the first transmitted packets and the number of the first received packets of each device, the number of second transmitted packets and the total number of received packets indicating the total number of packets transmitted by the plurality of communication devices in the network by unicast communication. The number of the second transmitted packets and the number of the second received packets are compared with the totaling unit configured to total the number of the second received packets indicating the above, and the totaled number of the second transmitted packets and the number of the second received packets. (2) It is provided with a determination unit configured to determine that an unauthorized connection has occurred in the network when the number of received packets is different.

上述した課題を解決するために、本発明に係る不正接続検知方法は、ネットワークへの接続が許可されている複数の通信機器各々がユニキャスト通信により前記ネットワーク内で送信したパケットの数を示す第1送信パケット数および受信したパケットの数を示す第1受信パケット数を取得する第1ステップと、前記第1ステップで取得された前記複数の通信機器各々の前記第1送信パケット数および前記第1受信パケット数から、前記ネットワーク内で前記複数の通信機器がユニキャスト通信により送信したパケットの総数を示す第2送信パケット数および受信したパケットの総数を示す第2受信パケット数を集計する第2ステップと、前記第2ステップで集計された前記第2送信パケット数と前記第2受信パケット数とを比較して、前記第2送信パケット数と前記第2受信パケット数とが異なる場合に、前記ネットワークにおいて不正接続が発生したと判断する第3ステップとを備える。 In order to solve the above-mentioned problems, the unauthorized connection detection method according to the present invention indicates the number of packets transmitted in the network by each of a plurality of communication devices permitted to connect to the network by unicast communication. The first step of acquiring the first received packet number indicating the number of one transmitted packet and the number of received packets, the first transmitted packet number of each of the plurality of communication devices acquired in the first step, and the first. The second step of totaling the number of second transmitted packets indicating the total number of packets transmitted by the plurality of communication devices by unicast communication and the number of second received packets indicating the total number of received packets from the number of received packets. When the number of the second transmitted packets and the number of the second received packets aggregated in the second step are compared with each other and the number of the second transmitted packets and the number of the second received packets are different, the network It is provided with a third step of determining that an unauthorized connection has occurred in.

本発明によれば、ネットワーク内でユニキャスト通信により複数の通信機器により送信されたパケットの総数を示す第2送信パケット数および受信されたパケットの総数を示す第2受信パケット数を集計し、集計された第2送信パケット数と第2受信パケット数とを比較し、第2送信パケット数と第2受信パケット数とが異なる場合に、ネットワークにおいて不正接続が発生したと判断する。そのため、より簡易な構成によりネットワークにおける不正接続を検知することができる。 According to the present invention, the number of second transmitted packets indicating the total number of packets transmitted by a plurality of communication devices by unicast communication in the network and the number of second received packets indicating the total number of received packets are totaled and totaled. The number of second transmitted packets and the number of second received packets are compared, and when the number of second transmitted packets and the number of second received packets are different, it is determined that an unauthorized connection has occurred in the network. Therefore, it is possible to detect an unauthorized connection in the network with a simpler configuration.

図1は、本発明の第1の実施の形態に係る不正接続検知システムの構成を示すブロック図である。FIG. 1 is a block diagram showing a configuration of an unauthorized connection detection system according to the first embodiment of the present invention. 図2は、第1の実施の形態に係る不正接続検知装置の構成を示すブロック図である。FIG. 2 is a block diagram showing a configuration of an unauthorized connection detection device according to the first embodiment. 図3は、第1の実施の形態に係る不正接続検知装置のハードウェア構成の一例を示すブロック図である。FIG. 3 is a block diagram showing an example of the hardware configuration of the unauthorized connection detection device according to the first embodiment. 図4は、第1の実施の形態に係るコントローラの構成を示すブロック図である。FIG. 4 is a block diagram showing a configuration of the controller according to the first embodiment. 図5は、第1の実施の形態に係るコントローラのハードウェア構成の一例を示すブロック図である。FIG. 5 is a block diagram showing an example of the hardware configuration of the controller according to the first embodiment. 図6は、第1の実施の形態に係る不正接続検知装置の動作を説明するためのフローチャートである。FIG. 6 is a flowchart for explaining the operation of the unauthorized connection detection device according to the first embodiment. 図7は、第1の実施の形態に係る不正接続検知システムの動作を説明するための図である。FIG. 7 is a diagram for explaining the operation of the unauthorized connection detection system according to the first embodiment. 図8は、第1の実施の形態に係る不正接続検知システムの動作を説明するための図である。FIG. 8 is a diagram for explaining the operation of the unauthorized connection detection system according to the first embodiment. 図9は、第2の実施の形態に係る不正接続検知装置の構成を示すブロック図である。FIG. 9 is a block diagram showing a configuration of an unauthorized connection detection device according to the second embodiment. 図10は、第2の実施の形態に係る不正接続検知装置の動作を説明するためのフローチャートである。FIG. 10 is a flowchart for explaining the operation of the unauthorized connection detection device according to the second embodiment. 図11は、第2の実施の形態に係る不正接続検知システムの動作を説明するための図である。FIG. 11 is a diagram for explaining the operation of the unauthorized connection detection system according to the second embodiment. 図12は、第2の実施の形態に係る不正接続検知システムの動作を説明するための図である。FIG. 12 is a diagram for explaining the operation of the unauthorized connection detection system according to the second embodiment.

以下、本発明の好適な実施の形態について、図1から図12を参照して詳細に説明する。 Hereinafter, preferred embodiments of the present invention will be described in detail with reference to FIGS. 1 to 12.

[第1の実施の形態]
はじめに、本発明の第1の実施の形態に係る不正接続検知装置1について説明する。 [First Embodiment]
First, the unauthorized connection detection device 1 according to the first embodiment of the present invention will be described.

[不正接続検知システムの構成]
まず、本発明の実施の形態に係る不正接続検知装置1を備える不正接続検知システムの概要について説明する。図1に示すように、不正接続検知システムは不正接続検知装置1と、ネットワークNWへの接続が許可された複数のコントローラ(通信機器)2a、2b、2cとを備える。不正接続検知装置1とコントローラ2a、2b、2cとは、例えば、BACnetプロトコルなどの通信プロトコルを用いてネットワークNWを介した通信を行うことができる。また、不正接続検知システムは、例えば、BA(Building Automation)システムなどに設けられる。 [Configuration of unauthorized connection detection system]
First, an outline of an unauthorized connection detection system including the unauthorized connection detection device 1 according to the embodiment of the present invention will be described. As shown in FIG. 1, the unauthorized connection detection system includes an unauthorized connection detection device 1 and a plurality of controllers (communication devices) 2a, 2b, and 2c that are permitted to connect to the network NW. The unauthorized connection detection device 1 and the controllers 2a, 2b, and 2c can communicate with each other via the network NW using a communication protocol such as the BACnet protocol. Further, the unauthorized connection detection system is provided in, for example, a BA (Building Automation) system.

コントローラ2a、2b、2cは、BACnetプロトコルなどのオープン規格に対応したコントローラである。例えば、コントローラ2a、2b、2cの各々は、設備に設置された図示されない各種センサなどに接続されている。以下において、コントローラ2a、2b、2cを総称してコントローラ2ということがある。 The controllers 2a, 2b, and 2c are controllers that support open standards such as the BACnet protocol. For example, each of the controllers 2a, 2b, and 2c is connected to various sensors (not shown) installed in the equipment. In the following, the controllers 2a, 2b, and 2c may be collectively referred to as the controller 2.

本発明の実施の形態では、予め許可されている通信機器のみがネットワークNWに接続する状況を仮定する。そのため、ネットワークNW全体で一対一のユニキャストで送信されたパケット数と、受信されたパケット数とは通常は一致するといえる。このことから、本実施の形態に係る不正接続検知装置1は、コントローラ2がユニキャスト通信により送受信したネットワークNW全体での送信パケット数および受信パケット数を集計し、集計された送信パケット数の総和と受信パケット数の総和とを比較してネットワークNWにおける不正アクセスの発生を検知する。 In the embodiment of the present invention, it is assumed that only previously authorized communication devices are connected to the network NW. Therefore, it can be said that the number of packets transmitted by one-to-one unicast in the entire network NW and the number of packets received are usually the same. From this, the unauthorized connection detection device 1 according to the present embodiment aggregates the number of transmitted packets and the number of received packets in the entire network NW transmitted / received by the controller 2 by unicast communication, and sums the total number of transmitted packets. Is compared with the total number of received packets to detect the occurrence of unauthorized access in the network NW.

[不正接続検知装置の機能ブロック]
次に、本実施の形態に係る不正接続検知装置1の機能構成について、図2のブロック図を参照して説明する。 [Functional block of unauthorized connection detection device]
Next, the functional configuration of the unauthorized connection detection device 1 according to the present embodiment will be described with reference to the block diagram of FIG.

不正接続検知装置1は、送受信部10、取得部11、集計部12、判断部13、および記憶部14を備える。 The unauthorized connection detection device 1 includes a transmission / reception unit 10, an acquisition unit 11, a totaling unit 12, a determination unit 13, and a storage unit 14.

送受信部10は、通信インターフェースであり、自装置と、ネットワークNWを介して接続されているコントローラ2a、2b、2cとの間でやり取りされるパケットを送受信する。なお、本実施の形態では、不正接続検知装置1は、コントローラ2とは、一対一のユニキャスト通信は行わず、マルチキャスト通信やブロードキャスト通信を行う場合を仮定する。 The transmission / reception unit 10 is a communication interface, and transmits / receives packets exchanged between the own device and the controllers 2a, 2b, and 2c connected via the network NW. In this embodiment, it is assumed that the unauthorized connection detection device 1 does not perform one-to-one unicast communication with the controller 2, but performs multicast communication or broadcast communication.

取得部11は、複数のコントローラ2各々がユニキャスト通信によりネットワークNW内で送信したパケットの数を示す送信パケット数S(第1送信パケット数)および受信したパケットの数を示す受信パケット数R(第1受信パケット数)を取得する。例えば、取得部11は、10分ごとなど任意に設定された周期で、コントローラ2a、2b、2cにおいてそれぞれカウントされている送信パケット数S2a、S2b、S2cおよび受信パケット数R2a、R2b、R2cをネットワークNWを介してコントローラ2a、2b、2cから取得することができる。 The acquisition unit 11 has a transmission packet number S 2 (first transmission packet number) indicating the number of packets transmitted by each of the plurality of controllers 2 in the network NW by unicast communication, and a reception packet number R indicating the number of received packets. 2 (number of first received packets) is acquired. For example, the acquisition unit 11 has the number of transmitted packets S 2a , S 2b , S 2c and the number of received packets R 2a , R counted in the controllers 2a, 2b, and 2c, respectively, at an arbitrarily set cycle such as every 10 minutes. 2b and R 2c can be obtained from the controllers 2a, 2b and 2c via the network NW.

取得部11は、例えば、複数のコントローラ2に対してマルチキャストで要求パケットを送受信部10を介して送信して、コントローラ2各々から送信パケット数および受信パケット数を取得することができる。このとき取得部11は、記憶部14に記憶されているネットワークNWへの接続が許可されているコントローラ2の識別情報に基づいて、送信パケット数および受信パケット数を取得することができる。 For example, the acquisition unit 11 transmits a request packet to a plurality of controllers 2 by multicast via the transmission / reception unit 10, and can acquire the number of transmission packets and the number of reception packets from each of the controllers 2. At this time, the acquisition unit 11 can acquire the number of transmitted packets and the number of received packets based on the identification information of the controller 2 stored in the storage unit 14 and which is permitted to connect to the network NW.

なお、複数のコントローラ2各々では、例えば、ヘッダに示された宛先が一つのみのユニキャストパケットのみがカウントされる。 In each of the plurality of controllers 2, for example, only unicast packets having only one destination indicated in the header are counted.

集計部12は、取得部11が取得したコントローラ2a、2b、2cごとの送信パケット数S2a、S2b、S2cおよび受信パケット数R2a、R2b、R2cから、監視対象のネットワークNW内でユニキャスト通信により送信されたパケットの数の総数および受信されたパケットの数の総数を示す送信パケット数(第2送信パケット数)SNWおよび受信パケット数(第2受信パケット数)RNWを集計する。 The totaling unit 12 is within the network NW to be monitored from the number of transmitted packets S 2a , S 2b , S 2c and the number of received packets R 2a , R 2b , R 2c for each of the controllers 2a, 2b, and 2c acquired by the acquisition unit 11. The number of transmitted packets (number of second transmitted packets) S NW and the number of received packets (number of second received packets) RNW indicating the total number of packets transmitted by unicast communication and the total number of received packets in Tally.

より詳細には、集計部12は、各コントローラ2a、2b、2cでユニキャストにより送信された送信パケット数S2a、S2b、S2cの総和から、監視対象のネットワークNW全体においてユニキャストで送信された送信パケット数SNW(SNW=S2a+S2b+S2c)を求める。 More specifically, the aggregation unit 12 transmits by unicast over the entire network NW to be monitored from the sum of the number of transmitted packets S 2a , S 2b , and S 2c transmitted by unicast in each of the controllers 2a, 2b, and 2c. The number of transmitted packets S NW ( SNW = S 2a + S 2b + S 2c ) is obtained.

また、集計部12は、各コントローラ2a、2b、2cでユニキャストにより受信された受信パケット数R2a、R2b、R2cの総和から、監視対象のネットワークNW全体においてユニキャストで受信された受信パケット数RNW(RNW=R2a+R2b+R2c)を求める。 Further, the aggregation unit 12 receives the reception received by unicast in the entire network NW to be monitored from the sum of the number of received packets R 2a , R 2b , and R 2c received by unicast in each of the controllers 2a, 2b, and 2c. The number of packets R NW (R NW = R 2a + R 2b + R 2c ) is obtained.

判断部13は、集計部12によって集計されたネットワークNW全体でユニキャストで送信された送信パケット数SNWと受信された受信パケット数RNWとを比較する。判断部13は、送信パケット数SNWと受信パケット数RNWとが異なる場合に、監視対象のネットワークNWにおいて不正接続が発生したと判断する。具体的には、判断部13は、送信パケット数SNWが受信パケット数RNWよりも少ない場合には、不正接続が発生したと判断することができる。 The determination unit 13 compares the number of transmitted packets S NW transmitted by unicast in the entire network NW aggregated by the totaling unit 12 with the number of received packets R NW received. When the number of transmitted packets S NW and the number of received packets R NW are different, the determination unit 13 determines that an unauthorized connection has occurred in the network NW to be monitored. Specifically, when the number of transmitted packets S NW is smaller than the number of received packets R NW , the determination unit 13 can determine that an unauthorized connection has occurred.

例えば、ネットワークNWに接続されているコントローラ2が外部から不正アクセスを受け、コントローラ2の情報が不正に取得され得るような状況では、攻撃者は攻撃対象のコントローラ2に対して何かしらの調査パケットをユニキャストで送信する場合がある。しかし、コントローラ2は、このような不正アクセスによる全ての調査パケットに対して応答するわけではない。 For example, in a situation where the controller 2 connected to the network NW is illegally accessed from the outside and the information of the controller 2 can be illegally acquired, the attacker sends some investigation packet to the attack target controller 2. It may be sent by unicast. However, the controller 2 does not respond to all the investigation packets due to such unauthorized access.

ネットワークNWへの不正アクセスによる調査パケットがネットワークNWを流れる場合には、監視対象のネットワークNW全体でのユニキャストによる送信パケット数SNWと受信パケット数RNWとは一致しないことになる。このことから、監視対象のネットワークNWへの接続が許可されていない不正端末などによる侵入があったことが検知される。 When the investigation packet due to unauthorized access to the network NW flows through the network NW, the number of unicast transmitted packets S NW and the number of received packets R NW in the entire monitored network NW do not match. From this, it is detected that there was an intrusion by an unauthorized terminal or the like that is not permitted to connect to the network NW to be monitored.

記憶部14は、ネットワークNWに接続されているコントローラ2a、2b、2cを識別する情報、例えば、MACアドレスなどを予め記憶している。すなわち、記憶部15には、ネットワークNWへの接続が許可されている正規端末の情報が事前に登録されている。 The storage unit 14 stores in advance information that identifies the controllers 2a, 2b, and 2c connected to the network NW, such as a MAC address. That is, in the storage unit 15, information on a regular terminal that is permitted to connect to the network NW is registered in advance.

[不正接続検知装置のハードウェア構成]
次に上述した機能を有する不正接続検知装置1のハードウェア構成の一例について、図3を用いて説明する。 [Hardware configuration of unauthorized connection detection device]
Next, an example of the hardware configuration of the unauthorized connection detection device 1 having the above-mentioned function will be described with reference to FIG.

図3に示すように、不正接続検知装置1は、例えば、バス101を介して接続されるプロセッサ102、主記憶装置103、通信インターフェース104、補助記憶装置105、入出力I/O106を備えるコンピュータと、これらのハードウェア資源を制御するプログラムによって実現することができる。 As shown in FIG. 3, the unauthorized connection detection device 1 includes, for example, a computer including a processor 102, a main storage device 103, a communication interface 104, an auxiliary storage device 105, and an input / output I / O 106 connected via a bus 101. , It can be realized by a program that controls these hardware resources.

主記憶装置103には、プロセッサ102が各種制御や演算を行うためのプログラムが予め格納されている。プロセッサ102と主記憶装置103とによって、図2に示した取得部11、集計部12、判断部13など、不正接続検知装置1の各機能が実現される。 A program for the processor 102 to perform various controls and calculations is stored in the main storage device 103 in advance. The processor 102 and the main storage device 103 realize each function of the unauthorized connection detection device 1, such as the acquisition unit 11, the aggregation unit 12, and the determination unit 13 shown in FIG.

通信インターフェース104は、不正接続検知装置1とコントローラ2a、2b、2cや各種外部電子機器との間をネットワーク接続するためのインターフェース回路である。通信インターフェース104により、図2で説明した送受信部10が実現される。また、通信インターフェース104からネットワークNW上の図示されない特定のサーバなどに対して、検知された不正接続に関する情報を送出することができる。 The communication interface 104 is an interface circuit for connecting the unauthorized connection detection device 1 to the controllers 2a, 2b, 2c and various external electronic devices via a network. The communication interface 104 realizes the transmission / reception unit 10 described with reference to FIG. In addition, information regarding the detected unauthorized connection can be sent from the communication interface 104 to a specific server (not shown) on the network NW.

補助記憶装置105は、読み書き可能な記憶媒体と、その記憶媒体に対してプログラムやデータなどの各種情報を読み書きするための駆動装置とで構成されている。補助記憶装置105には、記憶媒体としてハードディスクやフラッシュメモリなどの半導体メモリを使用することができる。 The auxiliary storage device 105 is composed of a readable and writable storage medium and a drive device for reading and writing various information such as programs and data to and from the storage medium. A semiconductor memory such as a hard disk or a flash memory can be used as the storage medium in the auxiliary storage device 105.

補助記憶装置105は、不正接続検知装置1が、ネットワークNWへの不正接続を検知するための不正接続検知プログラムを格納するプログラム格納領域を有する。補助記憶装置105によって、図2で説明した記憶部14が実現される。さらには、例えば、上述したデータやプログラムやなどをバックアップするためのバックアップ領域などを有していてもよい。 The auxiliary storage device 105 has a program storage area in which the unauthorized connection detection device 1 stores an unauthorized connection detection program for detecting an unauthorized connection to the network NW. The auxiliary storage device 105 realizes the storage unit 14 described with reference to FIG. Further, for example, it may have a backup area for backing up the above-mentioned data, programs, and the like.

入出力I/O106は、外部機器からの信号を入力したり、外部機器へ信号を出力したりするI/O端子により構成される。 The input / output I / O 106 is composed of an I / O terminal that inputs a signal from an external device and outputs a signal to the external device.

入力装置107は、キーボードやタッチパネルなどで構成され、操作入力を受け付けて対応する信号を生成する。例えば、入力装置107は、ネットワークNWへの接続が許可されたコントローラ2a、2b、2cの識別情報を受け付ける。 The input device 107 is composed of a keyboard, a touch panel, or the like, and receives an operation input to generate a corresponding signal. For example, the input device 107 receives the identification information of the controllers 2a, 2b, and 2c that are permitted to connect to the network NW.

表示装置108は、液晶ディスプレイなどによって構成される。表示装置108は、判断部13による判断結果を表示画面に表示することができる。 The display device 108 is composed of a liquid crystal display or the like. The display device 108 can display the determination result by the determination unit 13 on the display screen.

[コントローラの機能ブロック]
次に、本実施の形態に係るコントローラ2a、2b、2cの構成例を図4のブロック図を参照して説明する。なお、複数のコントローラ2a、2b、2cはそれぞれ同様の構成を有し、図5では、総称してコントローラ2と記載している。 [Controller function block]
Next, a configuration example of the controllers 2a, 2b, and 2c according to the present embodiment will be described with reference to the block diagram of FIG. The plurality of controllers 2a, 2b, and 2c each have the same configuration, and are collectively referred to as the controller 2 in FIG.

コントローラ2は、送受信部20、パケットカウンタ(第1パケットカウンタ)21、および記憶部22を備える。 The controller 2 includes a transmission / reception unit 20, a packet counter (first packet counter) 21, and a storage unit 22.

送受信部20は、通信インターフェースであり、ネットワークNWを介して不正接続検知装置1などとやり取りされるパケットを送受信する。また、送受信部20は、コントローラ2がユニキャストで送信した送信パケット数Sおよび受信した受信パケット数Rを不正接続検知装置1からの要求に応じて返信する。 The transmission / reception unit 20 is a communication interface, and transmits / receives packets exchanged with the unauthorized connection detection device 1 and the like via the network NW. The transmitting and receiving unit 20, the controller 2 is returned in response to a request received packets number R 2 which has transmitted transmitted packet count S 2 and received by the unicast unauthorized connection detection device 1.

パケットカウンタ21は、自装置がユニキャストでネットワークNW内で送信した送信パケット数Sおよび受信した受信パケット数Rをカウントする。パケットカウンタ21は、送信パケットおよび受信パケットのヘッダ情報により宛先が1つのみのユニキャストパケットをカウントすることができる。 Packet counter 21, the device itself counts the number of received packets R 2 which has transmitted transmitted packet count S 2 and received by the network NW in unicast. The packet counter 21 can count unicast packets having only one destination based on the header information of the transmitted packet and the received packet.

記憶部22は、パケットカウンタ21がカウントした送信パケット数Sおよび受信パケット数Rを記憶する。 Storage unit 22, a packet counter 21 stores the transmission packet number S 2 and the receiving packet number R 2 was counted.

[コントローラのハードウェア構成]
次に上述した機能を有するコントローラ2のハードウェア構成の一例について、図5を用いて説明する。 [Controller hardware configuration]
Next, an example of the hardware configuration of the controller 2 having the above-mentioned functions will be described with reference to FIG.

図5に示すように、コントローラ2は、例えば、バス201を介して接続されるプロセッサ202、主記憶装置203、通信インターフェース204、補助記憶装置205、入出力I/O206を備えるコンピュータと、これらのハードウェア資源を制御するプログラムによって実現することができる。 As shown in FIG. 5, the controller 2 includes, for example, a computer including a processor 202, a main storage device 203, a communication interface 204, an auxiliary storage device 205, and an input / output I / O 206 connected via the bus 201, and a computer thereof. It can be realized by a program that controls hardware resources.

主記憶装置203には、プロセッサ202が各種制御や演算を行うためのプログラムが予め格納されている。プロセッサ202と主記憶装置203とによって、図4に示したパケットカウンタ21など、コントローラ2が備える各機能が実現される。 A program for the processor 202 to perform various controls and calculations is stored in the main storage device 203 in advance. The processor 202 and the main storage device 203 realize each function of the controller 2, such as the packet counter 21 shown in FIG.

通信インターフェース204は、コントローラ2と不正接続検知装置1や各種外部電子機器との間をネットワーク接続するためのインターフェース回路である。通信インターフェース204により、図4で説明した送受信部20が実現される。 The communication interface 204 is an interface circuit for connecting the controller 2 to the unauthorized connection detection device 1 and various external electronic devices via a network. The communication interface 204 realizes the transmission / reception unit 20 described with reference to FIG.

補助記憶装置205は、読み書き可能な記憶媒体と、その記憶媒体に対してプログラムやデータなどの各種情報を読み書きするための駆動装置とで構成されている。補助記憶装置205には、記憶媒体としてハードディスクやフラッシュメモリなどの半導体メモリを使用することができる。 The auxiliary storage device 205 includes a readable and writable storage medium and a drive device for reading and writing various information such as programs and data to and from the storage medium. A semiconductor memory such as a hard disk or a flash memory can be used as the storage medium in the auxiliary storage device 205.

補助記憶装置205は、コントローラ2がユニキャストで送受信したパケットをカウントするためのプログラムを格納するプログラム格納領域を有する。補助記憶装置205によって、図4で説明した記憶部22が実現される。さらには、例えば、上述したデータやプログラムやなどをバックアップするためのバックアップ領域などを有していてもよい。 The auxiliary storage device 205 has a program storage area for storing a program for counting packets sent and received by the controller 2 in unicast. The auxiliary storage device 205 realizes the storage unit 22 described with reference to FIG. Further, for example, it may have a backup area for backing up the above-mentioned data, programs, and the like.

入出力I/O206は、外部機器からの信号を入力したり、外部機器へ信号を出力したりするI/O端子により構成される。例えば、入出力I/O206を介してコントローラ2が制御や管理を行うセンサなどの図示されない機器と接続されている。 The input / output I / O 206 is composed of an I / O terminal that inputs a signal from an external device or outputs a signal to the external device. For example, the controller 2 is connected to a device (not shown) such as a sensor that controls and manages via the input / output I / O 206.

入力装置207は、物理キーやタッチパネルなどで構成され、操作入力を受け付けて対応する信号を生成する。 The input device 207 is composed of a physical key, a touch panel, or the like, and receives an operation input to generate a corresponding signal.

表示装置208は、液晶ディスプレイなどによって構成される。 The display device 208 is composed of a liquid crystal display or the like.

[不正接続検知装置の動作]
次に、上述した構成を有する不正接続検知装置1の動作および不正接続検知システムの動作について、図6から図8を参照して説明する。以下において、記憶部14には、事前にネットワークNWへの接続が許可されているコントローラ2a、2b、2cの識別情報が記憶されている。 [Operation of unauthorized connection detection device]
Next, the operation of the unauthorized connection detection device 1 having the above-described configuration and the operation of the unauthorized connection detection system will be described with reference to FIGS. 6 to 8. In the following, the storage unit 14 stores the identification information of the controllers 2a, 2b, and 2c that are permitted to connect to the network NW in advance.

まず、取得部11は、コントローラ2a、2b、2cがユニキャストによりネットワークNW内で送受信した送信パケット数S2a、S2b、S2c、および受信パケット数R2a、R2b、R2cを、コントローラ2a、2b、2c各々から取得する(ステップS1)。 First, the acquisition unit 11 controls the number of transmitted packets S 2a , S 2b , S 2c , and the number of received packets R 2a , R 2b , R 2c transmitted and received by the controllers 2a, 2b, and 2c in the network NW by unicast. Obtained from each of 2a, 2b, and 2c (step S1).

例えば、取得部11は、10分周期などの周期で、ネットワークNW上のコントローラ2a、2b、2cから送信パケット数S2a、S2b、S2c、および受信パケット数R2a、R2b、R2cを取得する。 For example, the acquisition unit 11 has a cycle of 10 minutes or the like, and the number of transmitted packets S 2a , S 2b , S 2c , and the number of received packets R 2a , R 2b , R 2c from the controllers 2a, 2b, and 2c on the network NW. To get.

次に、集計部12は、ネットワークNW内でユニキャストで送信された送信パケット数の総和および受信された受信パケット数の総数を集計する(ステップS2)。より具体的には、集計部12は、ステップS1で取得されたコントローラ2a、2b、2cの送信パケット数S2a、S2b、S2c、および受信パケット数R2a、R2b、R2cそれぞれの総和(送信パケット数SNWおよび受信パケット数RNW)を計算する。 Next, the aggregation unit 12 aggregates the total number of transmitted packets transmitted by unicast in the network NW and the total number of received packets received (step S2). More specifically, the aggregation unit 12 has the number of transmitted packets S 2a , S 2b , S 2c of the controllers 2a, 2b, and 2c acquired in step S1, and the number of received packets R 2a , R 2b , and R 2c, respectively. Calculate the sum (number of transmitted packets S NW and number of received packets R NW).

次に、判断部13は、ステップS2で集計されたネットワークNW全体でのユニキャストによる送信パケット数SNWと受信パケット数RNWとを比較し、送信パケット数SNWと受信パケット数RNWとが異なる場合において(ステップS3:NO)、送信パケット数SNWが受信パケット数RNWよりも少ない場合には(ステップS4:YES)、不正接続が発生したと判断する(ステップS5)。 Then, determination unit 13 compares the aggregated transmission packet number S NW unicast across the network NW and the received packet number R NW in step S2, a transmission packet number S NW and receive packet number R NW Are different (step S3: NO), and if the number of transmitted packets S NW is less than the number of received packets R NW (step S4: YES), it is determined that an unauthorized connection has occurred (step S5).

その後、表示装置108は、表示画面に、不正接続が発生したことを示す情報を表示する(ステップS6)。なお、ステップS4において、送信パケット数SNWが受信パケット数RNWよりも多い場合には(ステップS4:NO)、表示装置108は、送信パケット数SNWが受信パケット数RNWよりも多いことを示す情報を表示画面に表示することができる(ステップS6)。送信パケット数SNWが受信パケット数RNWよりも多い場合には、送信されたはずのパケットが受信されていない状況が生じており、通信の異常が発生している可能性があるため、通知情報として表示画面に表示することができる。 After that, the display device 108 displays information indicating that an unauthorized connection has occurred on the display screen (step S6). In step S4, when the number of transmitted packets S NW is larger than the number of received packets R NW (step S4: NO), the display device 108 means that the number of transmitted packets S NW is larger than the number of received packets R NW. Information indicating the above can be displayed on the display screen (step S6). If the number of transmitted packets S NW is larger than the number of received packets R NW , there is a situation in which the packet that should have been transmitted has not been received, and there is a possibility that a communication error has occurred. It can be displayed on the display screen as information.

なお、ステップS3において、集計された送信パケット数SNWと受信パケット数RNWとが一致する場合には(ステップS3:YES)、不正接続は発生していないとして、処理を終了する。 If the total number of transmitted packets S NW and the number of received packets R NW match in step S3 (step S3: YES), it is considered that no unauthorized connection has occurred, and the process ends.

例えば、図7の例では、ネットワークNW全体での送信パケット数SNWは、100である(SNW=S2a+S2b+S2c=20+50+30=100)。一方、ネットワークNW全体での受信パケット数RNWについても100である(RNW=R2a+R2b+R2c=30+20+50=100)。システム全体では送信パケット数と受信パケット数が一致している。 For example, in the example of FIG. 7, the number of transmitted packets S NW in the entire network NW is 100 ( SNW = S 2a + S 2b + S 2c = 20 + 50 + 30 = 100). On the other hand, the number of received packets R NW in the entire network NW is also 100 (R NW = R 2a + R 2b + R 2c = 30 + 20 + 50 = 100). The number of transmitted packets and the number of received packets match in the entire system.

図8は、ネットワークNWへの接続が許可されていない不正端末が不正接続を行う場合を例示している。図8に示すように、不正端末は、コントローラ2cから不正に情報を取得しようとして、コントローラ2cに対して複数の調査パケットをユニキャストで送信している。 FIG. 8 illustrates a case where an unauthorized terminal that is not permitted to connect to the network NW makes an unauthorized connection. As shown in FIG. 8, the unauthorized terminal unicasts a plurality of investigation packets to the controller 2c in an attempt to illegally acquire information from the controller 2c.

不正端末からの調査パケットを受信したコントローラ2cは、不正端末に対して返信パケットを送信する場合もあるが、返信しない場合もある。コントローラ2cが返信パケットを送信しない場合には、パケットカウンタ21は、受信パケット数のみをカウントアップすることになる。 The controller 2c that has received the investigation packet from the fraudulent terminal may send a reply packet to the fraudulent terminal, but may not reply. When the controller 2c does not transmit the reply packet, the packet counter 21 counts up only the number of received packets.

図8に示す状況において、監視対象のネットワークNW全体での送信パケット数SNWは、100である(SNW=S2a+S2b+S2c=20+50+30=100)。一方、ネットワークNW全体での受信パケット数RNWは、250である(RNW=R2a+R2b+R2c=30+20+200=250)。システム全体では送信パケット数と受信パケット数とが一致しておらず、[送信パケット数SNW<受信パケット数RNW]となっている。 In the situation shown in FIG. 8, the number of transmitted packets S NW in the entire network NW to be monitored is 100 ( SNW = S 2a + S 2b + S 2c = 20 + 50 + 30 = 100). On the other hand, the number of received packets R NW in the entire network NW is 250 (R NW = R 2a + R 2b + R 2c = 30 + 20 + 200 = 250). In the entire system, the number of transmitted packets and the number of received packets do not match, and [number of transmitted packets S NW <number of received packets R NW ].

図8の例において、不正接続検知装置1は、ネットワークNWにおいて不正接続が発生していると判断する。 In the example of FIG. 8, the unauthorized connection detection device 1 determines that an unauthorized connection has occurred in the network NW.

以上説明したように、第1の実施の形態によれば、ユニキャスト通信によりネットワークNW内でコントローラ2各々が送信した送信パケット数および受信した受信パケット数の総和を集計する。そして、送信パケット数の総和と受信パケット数の総和とが一致しない場合、すなわち、送信パケット数が受信パケット数よりも少ない場合に不正接続が発生したと判断する。そのため、より簡易な構成でネットワークNWに発生する不正接続を検知することができる。 As described above, according to the first embodiment, the total number of transmitted packets transmitted and the number of received packets received by each of the controllers 2 in the network NW by unicast communication is totaled. Then, when the total number of transmitted packets and the total number of received packets do not match, that is, when the number of transmitted packets is smaller than the number of received packets, it is determined that an unauthorized connection has occurred. Therefore, it is possible to detect an unauthorized connection occurring in the network NW with a simpler configuration.

[第2の実施の形態]
次に、本発明の第2の実施の形態について説明する。なお、以下の説明では、上述した第1の実施の形態と同じ構成については同一の符号を付し、その説明を省略する。 [Second Embodiment]
Next, a second embodiment of the present invention will be described. In the following description, the same reference numerals will be given to the same configurations as those in the first embodiment described above, and the description thereof will be omitted.

第1の実施の形態では、不正接続検知装置1がユニキャスト通信を行わない場合を例示して説明した。これに対し、第2の実施の形態では、不正接続検知装置1Aは、ネットワークNW内で、ユニキャスト通信を行う。例えば、不正接続検知装置1Aは、ネットワークNWを介して接続されているコントローラ2a、2b、2cとの一対一のユニキャスト通信を行うことができる場合を仮定する。 In the first embodiment, a case where the unauthorized connection detection device 1 does not perform unicast communication has been described as an example. On the other hand, in the second embodiment, the unauthorized connection detection device 1A performs unicast communication in the network NW. For example, it is assumed that the unauthorized connection detection device 1A can perform one-to-one unicast communication with the controllers 2a, 2b, and 2c connected via the network NW.

図9は、第2の実施の形態に係る不正接続検知装置1Aの構成を示すブロック図である。不正接続検知装置1Aは、パケットカウンタ(第3パケットカウンタ)15を備える点で、第1の実施の形態の構成とは異なる。また、本実施の形態に係るコントローラ2a、2b、2cの構成は第1の実施の形態と同様である。 FIG. 9 is a block diagram showing a configuration of the unauthorized connection detection device 1A according to the second embodiment. The unauthorized connection detection device 1A is different from the configuration of the first embodiment in that the packet counter (third packet counter) 15 is provided. Further, the configurations of the controllers 2a, 2b, and 2c according to the present embodiment are the same as those of the first embodiment.

[不正接続検知装置の機能ブロック]
図9に示すように、不正接続検知装置1Aは、送受信部10、取得部11、集計部12、判断部13、記憶部14、およびパケットカウンタ15を備える。パケットカウンタ15以外の構成については、第1の実施の形態と同様である。 [Functional block of unauthorized connection detection device]
As shown in FIG. 9, the unauthorized connection detection device 1A includes a transmission / reception unit 10, an acquisition unit 11, an aggregation unit 12, a determination unit 13, a storage unit 14, and a packet counter 15. The configuration other than the packet counter 15 is the same as that of the first embodiment.

パケットカウンタ15は、ネットワークNW内でユニキャスト通信により自装置が送信したパケット数を示す送信パケット数S(第3送信パケット数)および受信したパケット数を示す受信パケット数R(第3受信パケット数)をカウントする。パケットカウンタ15によってカウントされた送信パケット数S,および受信パケット数Rは、記憶部15に記憶される。 The packet counter 15 has a number of transmitted packets S 1 (number of third transmitted packets) indicating the number of packets transmitted by the own device by unicast communication in the network NW and a number of received packets R 1 (third reception) indicating the number of received packets. The number of packets) is counted. Transmission packet number S 1 counted by the packet counter 15, and the received number of packets R 1 is stored in the storage unit 15.

集計部12は、取得部11によって取得された、コントローラ2a、2b、2c各々がユニキャストで送信した送信パケット数S2a、S2b、S2c、および受信した受信パケット数R2a、R2b、R2c、ならびにパケットカウンタ15によってカウントされた不正接続検知装置1Aがユニキャストで送信した送信パケット数Sおよび受信した受信パケット数Rに基づいて、ネットワークNW全体でのユニキャストによる送信パケット数の総和SNWおよび受信パケット数の総和RNWを集計する。 The totaling unit 12 has acquired the number of transmitted packets S 2a , S 2b , S 2c , and the number of received received packets R 2a , R 2b , which are unicast transmitted by the controllers 2a, 2b, and 2c, respectively. R 2c, and unauthorized connection detection device 1A, which is counted by the packet counter 15 based on the received number of packets R 1 that transmitted packets sent number S 1 and received by the unicast, the number of transmitted packets by unicast across the network NW The total S NW of and the total R NW of the number of received packets are totaled.

判断部13は、集計部12によって集計された送信パケット数の総和SNWと受信パケット数の総和RNWとを比較して、送信パケット数SNWと受信パケット数RNWとが異なる場合、例えば、送信パケット数SNWが受信パケット数RNWよりも少ない場合に、ネットワークNWにおいて不正接続が発生したと判断する。 The determination unit 13 compares the total number of transmitted packets S NW and the total number of received packets R NW aggregated by the totaling unit 12, and when the number of transmitted packets S NW and the number of received packets R NW are different, for example. When the number of transmitted packets S NW is smaller than the number of received packets R NW , it is determined that an unauthorized connection has occurred in the network NW.

[不正接続検知装置の動作]
次に、本実施の形態に係る不正接続検知装置1Aの動作および不正接続検知システムの動作について図10から図12を参照して説明する。なお、記憶部14には、事前にネットワークNWへの接続が許可されているコントローラ2a、2b、2cの識別情報が記憶されている。 [Operation of unauthorized connection detection device]
Next, the operation of the unauthorized connection detection device 1A and the operation of the unauthorized connection detection system according to the present embodiment will be described with reference to FIGS. 10 to 12. The storage unit 14 stores the identification information of the controllers 2a, 2b, and 2c that are permitted to connect to the network NW in advance.

まず、パケットカウンタ15は、自装置がユニキャストによりネットワークNW内で送信した送信パケット数S、および受信した受信パケット数Rをカウントする(ステップS100)。パケットカウンタ15によってカウントされたパケット数は、記憶部14に記憶される。 First, the packet counter 15, the device itself counts the number of received packets R 1 number of transmitted packets transmitted in the network NW S 1, and received by unicast (step S100). The number of packets counted by the packet counter 15 is stored in the storage unit 14.

次に、取得部11は、コントローラ2a、2b、2cがユニキャストによりネットワークNW内で送受信した送信パケット数S2a、S2b、S2c、および受信パケット数R2a、R2b、R2cを、コントローラ2a、2b、2c各々から取得する(ステップS1)。 Next, the acquisition unit 11 obtains the number of transmitted packets S 2a , S 2b , S 2c , and the number of received packets R 2a , R 2b , R 2c transmitted and received by the controllers 2a, 2b, and 2c in the network NW by unicast. Obtained from each of the controllers 2a, 2b, and 2c (step S1).

次に、集計部12は、ネットワークNW内でユニキャストにより送信された送信パケット数の総和および受信された受信パケット数の総数を集計する(ステップS2)。より具体的には、集計部12は、ステップS100でカウントされた自装置がユニキャストで送信した送信パケット数Sおよび受信した受信パケット数R、ならびに、ステップS1で取得されたコントローラ2a、2b、2cの送信パケット数S2a、S2b、S2c、および受信パケット数R2a、R2b、R2cの総和(送信パケット数SNWおよび受信パケット数RNW)を計算する。 Next, the totaling unit 12 totals the total number of transmitted packets transmitted by unicast and the total number of received received packets in the network NW (step S2). More specifically, the aggregation unit 12 receives the packet number R 1 counted own device has transmitted the transmission packet number S 1 and received by the unicast step S100, and the controller 2a obtained in step S1, The sum of the number of transmitted packets S 2a , S 2b , S 2c of 2b and 2c, and the number of received packets R 2a , R 2b , and R 2c (number of transmitted packets S NW and number of received packets R NW ) is calculated.

次に、判断部13は、ステップS2で集計されたネットワークNW全体でのユニキャストによる送信パケット数SNWと受信パケット数RNWとを比較し、送信パケット数SNWと受信パケット数RNWとが異なる場合において(ステップS3:NO)、送信パケット数SNWが受信パケット数RNWよりも少ない場合には(ステップS4:YES)、不正接続が発生したと判断する(ステップS5)。 Then, determination unit 13 compares the aggregated transmission packet number S NW unicast across the network NW and the received packet number R NW in step S2, a transmission packet number S NW and receive packet number R NW Are different (step S3: NO), and if the number of transmitted packets S NW is less than the number of received packets R NW (step S4: YES), it is determined that an unauthorized connection has occurred (step S5).

その後、表示装置108は、表示画面に、不正接続が発生したことを示す情報を表示する(ステップS6)。なお、ステップS4において、送信パケット数SNWが受信パケット数RNWよりも多い場合には(ステップS4:NO)、表示装置108は、送信パケット数SNWが受信パケット数RNWよりも多いことを示す情報を表示画面に表示することができる(ステップS6)。 After that, the display device 108 displays information indicating that an unauthorized connection has occurred on the display screen (step S6). In step S4, when the number of transmitted packets S NW is larger than the number of received packets R NW (step S4: NO), the display device 108 means that the number of transmitted packets S NW is larger than the number of received packets R NW. Information indicating the above can be displayed on the display screen (step S6).

なお、ステップS3において、集計された送信パケット数SNWと受信パケット数RNWとが一致する場合には(ステップS3:YES)、不正接続は発生していないとして、処理は終了する。 If the total number of transmitted packets S NW and the number of received packets R NW match in step S3 (step S3: YES), it is assumed that no unauthorized connection has occurred, and the process ends.

例えば、図11の例では、ネットワークNW全体での送信パケット数SNWは、150である(SNW=S+S2a+S2b+S2c=50+20+50+30=150)。一方、ネットワークNW全体での受信パケット数RNWについても150である(RNW=R+R2a+R2b+R2c=50+30+20+50=150)。システム全体では送信パケット数と受信パケット数が一致している。 For example, in the example of FIG. 11, the number of transmitted packets S NW in the entire network NW is 150 ( SNW = S 1 + S 2a + S 2b + S 2c = 50 + 20 + 50 + 30 = 150). On the other hand, the number of received packets R NW in the entire network NW is also 150 (R NW = R 1 + R 2a + R 2b + R 2c = 50 + 30 + 20 + 50 = 150). The number of transmitted packets and the number of received packets match in the entire system.

図12は、ネットワークNWへの接続が許可されていない不正端末が不正接続を行う場合を例示している。図12に示すように、不正端末は、コントローラ2cから不正に情報を取得しようとして、コントローラ2cに対して複数の調査パケットをユニキャストで送信している。 FIG. 12 illustrates a case where an unauthorized terminal that is not permitted to connect to the network NW makes an unauthorized connection. As shown in FIG. 12, the unauthorized terminal unicasts a plurality of investigation packets to the controller 2c in an attempt to illegally acquire information from the controller 2c.

図12に示す状況において、監視対象のネットワークNW全体での送信パケット数SNWは、150である(SNW=S+S2a+S2b+S2c=50+20+50+30=150)。一方、ネットワークNW全体での受信パケット数RNWは、300である(RNW=R+R2a+R2b+R2c=50+30+20+200=300)。システム全体では送信および受信されたパケットの数が一致しておらず、[送信パケット数SNW<受信パケット数RNW]となっている。 In the situation shown in FIG. 12, the number of transmitted packets S NW in the entire network NW to be monitored is 150 ( SNW = S 1 + S 2a + S 2b + S 2c = 50 + 20 + 50 + 30 = 150). On the other hand, the number of received packets R NW in the entire network NW is 300 (R NW = R 1 + R 2a + R 2b + R 2c = 50 + 30 + 20 + 200 = 300). The number of transmitted and received packets does not match in the entire system, and [number of transmitted packets S NW <number of received packets R NW ].

図12の例において、不正接続検知装置1Aは、ネットワークNWにおいて不正接続が発生していると判断する。 In the example of FIG. 12, the unauthorized connection detection device 1A determines that an unauthorized connection has occurred in the network NW.

以上説明したように、第2の実施の形態によれば、不正接続検知装置1Aがユニキャストによるパケットを送受信する場合においても、ネットワークNW内でユニキャストで送受信されたパケット数の総和を集計する。そして、送信パケット数と受信パケット数とが一致しない場合、すなわち、送信パケット数が受信パケット数よりも少ない場合に不正接続が発生したと判断する。そのため、より簡易な構成でネットワークNWに発生する不正接続を検知することができる。 As described above, according to the second embodiment, even when the unauthorized connection detection device 1A transmits / receives packets by unicast, the total number of packets transmitted / received by unicast in the network NW is totaled. .. Then, when the number of transmitted packets and the number of received packets do not match, that is, when the number of transmitted packets is smaller than the number of received packets, it is determined that an unauthorized connection has occurred. Therefore, it is possible to detect an unauthorized connection occurring in the network NW with a simpler configuration.

なお、説明した実施の形態では、不正接続検知装置1、1Aがコントローラ2a、2b、2c各々からネットワークNWを介して各コントローラ2でカウントされた送信パケット数および受信パケット数を一定周期で取得する場合について説明した。しかし、不正接続検知装置1、1Aは、例えば、パケットキャプチャなどによりネットワークNW上を流れるユニキャスト通信によるパケットを監視して、送信パケット数および受信パケット数を取得する構成とすることもできる。 In the embodiment described, the unauthorized connection detection devices 1 and 1A acquire the number of transmitted packets and the number of received packets counted by each controller 2 from the controllers 2a, 2b, and 2c via the network NW at regular intervals. The case was explained. However, the unauthorized connection detection devices 1 and 1A may be configured to monitor packets by unicast communication flowing on the network NW by, for example, packet capture, and acquire the number of transmitted packets and the number of received packets.

以上、本発明の不正接続検知装置、不正接続検知システム、および不正接続検知方法における実施の形態について説明したが、本発明は説明した実施の形態に限定されるものではなく、請求項に記載した発明の範囲において当業者が想定し得る各種の変形を行うことが可能である。 Although the embodiments of the unauthorized connection detection device, the unauthorized connection detection system, and the unauthorized connection detection method of the present invention have been described above, the present invention is not limited to the described embodiments and is described in the claims. It is possible to make various modifications that can be assumed by those skilled in the art within the scope of the invention.

1…不正接続検知装置、2、2a、2b、2c…コントローラ、10、20…送受信部、11…取得部、12…集計部、13…判断部、14、22…記憶部、15、21…パケットカウンタ、101、201…バス、102、202…プロセッサ、103、203…主記憶装置、104、204…通信インターフェース、105、205…補助記憶装置、106、206…入出力I/O、107、207…入力装置、108、208…表示装置、NW…ネットワーク。 1 ... Unauthorized connection detection device, 2, 2a, 2b, 2c ... Controller, 10, 20 ... Transmission / reception unit, 11 ... Acquisition unit, 12 ... Aggregation unit, 13 ... Judgment unit, 14, 22 ... Storage unit, 15, 21 ... Packet counter, 101, 201 ... Bus, 102, 202 ... Processor, 103, 203 ... Main memory, 104, 204 ... Communication interface, 105, 205 ... Auxiliary storage, 106, 206 ... Input / output I / O, 107, 207 ... Input device, 108, 208 ... Display device, NW ... Network.

Claims (9)

ネットワークへの接続が許可されている複数の通信機器各々がユニキャスト通信により前記ネットワーク内で送信したパケットの数を示す第1送信パケット数および受信したパケットの数を示す第1受信パケット数を取得するように構成された取得部と、
取得された前記複数の通信機器各々の前記第1送信パケット数および前記第1受信パケット数から、前記ネットワーク内で前記複数の通信機器がユニキャスト通信により送信したパケットの総数を示す第2送信パケット数および受信したパケットの総数を示す第2受信パケット数を集計するように構成された集計部と、
集計された前記第2送信パケット数と前記第2受信パケット数とを比較して、前記第2送信パケット数と前記第2受信パケット数とが異なる場合に、前記ネットワークにおいて不正接続が発生したと判断するように構成された判断部と
を備える不正接続検知装置。 Each of the plurality of communication devices permitted to connect to the network acquires the number of first transmitted packets indicating the number of packets transmitted in the network and the number of first received packets indicating the number of received packets by unicast communication. With the acquisition unit configured to
A second transmission packet indicating the total number of packets transmitted by the plurality of communication devices by unicast communication in the network from the number of the first transmission packets and the number of the first reception packets of each of the acquired plurality of communication devices. An aggregation unit configured to aggregate the number of second received packets, which indicates the number and the total number of packets received,
Comparing the total number of the second transmitted packets and the number of the second received packets, it is determined that an unauthorized connection has occurred in the network when the number of the second transmitted packets and the number of the second received packets are different. An unauthorized connection detection device that includes a judgment unit configured to make a judgment. 請求項1に記載の不正接続検知装置において、
前記判断部は、前記第2送信パケット数が前記第2受信パケット数よりも少ない場合に、前記ネットワークにおいて不正接続が発生したと判断する
ことを特徴とする不正接続検知装置。 In the unauthorized connection detection device according to claim 1,
The determination unit is an unauthorized connection detection device that determines that an unauthorized connection has occurred in the network when the number of second transmitted packets is smaller than the number of second received packets. 請求項1または請求項2に記載の不正接続検知装置において、
前記第1送信パケット数および前記第1受信パケット数は、前記複数の通信機器各々においてそれぞれカウントされ、
前記取得部は、前記複数の通信機器各々でカウントされた前記第1送信パケット数および前記第1受信パケット数を、前記ネットワークを介して前記複数の通信機器各々から取得する
ことを特徴とする不正接続検知装置。 In the unauthorized connection detection device according to claim 1 or 2.
The number of the first transmitted packets and the number of the first received packets are counted in each of the plurality of communication devices, respectively.
The acquisition unit acquires the number of the first transmission packets and the number of the first received packets counted by each of the plurality of communication devices from each of the plurality of communication devices via the network. Connection detector. 請求項1から3のいずれか1項に記載の不正接続検知装置において、
前記ネットワーク内でユニキャスト通信により自装置が送信したパケットの数を示す第3送信パケット数および受信したパケットの数を示す第3受信パケット数をカウントするように構成された第3パケットカウンタをさらに備え、
前記集計部は、前記第1送信パケット数、前記第1受信パケット数、前記第3送信パケット数、および前記第3受信パケット数に基づいて、前記ネットワーク内でユニキャスト通信により送信されたパケットの総数および受信されたパケットの総数を示す前記第2送信パケット数および前記第2受信パケット数を集計する
ことを特徴とする不正接続検知装置。 In the unauthorized connection detection device according to any one of claims 1 to 3,
A third packet counter configured to count the number of third transmitted packets indicating the number of packets transmitted by the own device by unicast communication in the network and the number of third received packets indicating the number of received packets is further added. Prepare,
The aggregation unit is a packet transmitted by unicast communication in the network based on the number of the first transmitted packet, the number of the first received packet, the number of the third transmitted packet, and the number of the third received packet. An unauthorized connection detection device that aggregates the number of second transmitted packets and the number of second received packets, which indicate the total number and the total number of received packets. 請求項1から4のいずれか1項に記載の不正接続検知装置において、
前記判断部による判断結果を表示画面に表示する表示装置をさらに備えることを特徴とする不正接続検知装置。 In the unauthorized connection detection device according to any one of claims 1 to 4,
An unauthorized connection detection device, further comprising a display device that displays a judgment result by the judgment unit on a display screen. 請求項1から5のいずれか1項に記載の不正接続検知装置において、
前記複数の通信機器各々の識別情報を記憶するように構成された記憶部をさらに備え、
前記取得部は、前記識別情報を有する前記複数の通信機器各々の前記第1送信パケット数および前記第1受信パケット数を取得する
ことを特徴とする不正接続検知装置。 In the unauthorized connection detection device according to any one of claims 1 to 5,
Further, a storage unit configured to store the identification information of each of the plurality of communication devices is provided.
The acquisition unit is an unauthorized connection detection device that acquires the number of the first transmission packets and the number of the first reception packets of each of the plurality of communication devices having the identification information. 請求項1から6のいずれか1項に記載の不正接続検知装置において、
前記ネットワークは、ビルディングオードメーションシステムに設けられたネットワークを含むことを特徴とする不正接続検知装置。 In the unauthorized connection detection device according to any one of claims 1 to 6,
The network is an unauthorized connection detection device including a network provided in a building audation system. ネットワークへの接続が許可されている複数の通信機器と、
前記複数の通信機器と前記ネットワークを介して接続されている不正接続検知装置と
を備え、
前記複数の通信機器各々は、
前記ネットワーク内でユニキャスト通信により送信したパケットの数を示す第1送信パケット数および受信したパケットの数を示す第1受信パケット数をカウントするように構成された第1パケットカウンタと、
前記第1パケットカウンタによってカウントされた前記第1送信パケット数および前記第1受信パケット数を記憶するように構成された記憶部と
を有し、
前記不正接続検知装置は、
前記第1送信パケット数および前記第1受信パケット数を前記ネットワークを介して前記複数の通信機器各々から取得するように構成された取得部と、
取得された前記複数の通信機器各々の前記第1送信パケット数および前記第1受信パケット数から、前記ネットワーク内で前記複数の通信機器がユニキャスト通信により送信したパケットの総数を示す第2送信パケット数および受信したパケットの総数を示す第2受信パケット数を集計するように構成された集計部と、
集計された前記第2送信パケット数と前記第2受信パケット数とを比較して、前記第2送信パケット数と前記第2受信パケット数とが異なる場合に、前記ネットワークにおいて不正接続が発生したと判断するように構成された判断部と
を備える不正接続検知システム。 Multiple communication devices that are allowed to connect to the network,
The plurality of communication devices and an unauthorized connection detection device connected via the network are provided.
Each of the plurality of communication devices
A first packet counter configured to count the number of first transmitted packets indicating the number of packets transmitted by unicast communication and the number of first received packets indicating the number of received packets in the network.
It has a storage unit configured to store the number of the first transmitted packets and the number of the first received packets counted by the first packet counter.
The unauthorized connection detection device is
An acquisition unit configured to acquire the number of first transmission packets and the number of first reception packets from each of the plurality of communication devices via the network.
A second transmission packet indicating the total number of packets transmitted by the plurality of communication devices by unicast communication in the network from the number of the first transmission packets and the number of the first reception packets of each of the acquired plurality of communication devices. An aggregation unit configured to aggregate the number of second received packets, which indicates the number and the total number of packets received,
Comparing the total number of the second transmitted packets and the number of the second received packets, it is determined that an unauthorized connection has occurred in the network when the number of the second transmitted packets and the number of the second received packets are different. An unauthorized connection detection system with a judgment unit configured to make a judgment. ネットワークへの接続が許可されている複数の通信機器各々がユニキャスト通信により前記ネットワーク内で送信したパケットの数を示す第1送信パケット数および受信したパケットの数を示す第1受信パケット数を取得する第1ステップと、
前記第1ステップで取得された前記複数の通信機器各々の前記第1送信パケット数および前記第1受信パケット数から、前記ネットワーク内で前記複数の通信機器がユニキャスト通信により送信したパケットの総数を示す第2送信パケット数および受信したパケットの総数を示す第2受信パケット数を集計する第2ステップと、
前記第2ステップで集計された前記第2送信パケット数と前記第2受信パケット数とを比較して、前記第2送信パケット数と前記第2受信パケット数とが異なる場合に、前記ネットワークにおいて不正接続が発生したと判断する第3ステップと
を備える不正接続検知方法。 Each of the plurality of communication devices permitted to connect to the network acquires the number of first transmitted packets indicating the number of packets transmitted in the network and the number of first received packets indicating the number of received packets by unicast communication. The first step to do and
From the number of the first transmission packets and the number of the first received packets of each of the plurality of communication devices acquired in the first step, the total number of packets transmitted by the plurality of communication devices in the network by unicast communication is calculated. The second step of totaling the number of second received packets shown and the number of second received packets showing the total number of received packets, and
When the number of the second transmitted packets and the number of the second received packets aggregated in the second step are compared and the number of the second transmitted packets and the number of the second received packets are different, the network is invalid. An unauthorized connection detection method including a third step of determining that a connection has occurred.
JP2019199640A 2019-11-01 2019-11-01 Unauthorized connection detection device, unauthorized connection detection system, and unauthorized connection detection method Pending JP2021072586A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2019199640A JP2021072586A (en) 2019-11-01 2019-11-01 Unauthorized connection detection device, unauthorized connection detection system, and unauthorized connection detection method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019199640A JP2021072586A (en) 2019-11-01 2019-11-01 Unauthorized connection detection device, unauthorized connection detection system, and unauthorized connection detection method

Publications (1)

Publication Number Publication Date
JP2021072586A true JP2021072586A (en) 2021-05-06

Family

ID=75713505

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019199640A Pending JP2021072586A (en) 2019-11-01 2019-11-01 Unauthorized connection detection device, unauthorized connection detection system, and unauthorized connection detection method

Country Status (1)

Country Link
JP (1) JP2021072586A (en)

Similar Documents

Publication Publication Date Title
EP3111433B1 (en) Wireless sensor network
US20160021122A1 (en) Explaining causes of network anomalies
CN110912927B (en) Method and device for detecting control message in industrial control system
CN112615858B (en) Internet of things equipment monitoring method, device and system
US11075926B2 (en) Cyber security framework for internet-connected embedded devices
WO2009051336A1 (en) Apparatus and method for managing terminal users
US11316770B2 (en) Abnormality detection apparatus, abnormality detection method, and abnormality detection program
US7743143B2 (en) Diagnosability enhancements for multi-level secure operating environments
US20220086074A1 (en) Detection device, detection method, and detection program
JP2006237892A (en) DoS ATTACK DETECTION METHOD, SYSTEM, AND PROGRAM
JP2019029960A (en) Detector, detection method and detection program
JP2021072586A (en) Unauthorized connection detection device, unauthorized connection detection system, and unauthorized connection detection method
CN109067764A (en) A kind of method and device for establishing equipment list item
JP2002164899A (en) Network monitoring method and its equipment
US20040124975A1 (en) Electronic apparatus and data processing method
US9811660B2 (en) Securing a shared serial bus
US20170257259A1 (en) Computer system, gateway apparatus, and server apparatus
JP6835526B2 (en) Unauthorized access monitoring device and method
US11991063B2 (en) Anomaly detection device, anomaly detection method, and program
JP2020057916A (en) Wireless network system and wireless network monitoring method
CN117614694B (en) Identity authentication-based bidding method
JP2020119273A (en) Unauthorized access monitoring device, unauthorized access monitoring method, and central monitoring system
KR102436486B1 (en) Network system and the method perceiving and reset of abnormal power
US11811940B2 (en) False positive reduction in electronic token forgery detection
CN109787969B (en) Host identity validity detection method and device and identity detection equipment