JP5088403B2 - 不正通信検出システム - Google Patents
不正通信検出システム Download PDFInfo
- Publication number
- JP5088403B2 JP5088403B2 JP2010173576A JP2010173576A JP5088403B2 JP 5088403 B2 JP5088403 B2 JP 5088403B2 JP 2010173576 A JP2010173576 A JP 2010173576A JP 2010173576 A JP2010173576 A JP 2010173576A JP 5088403 B2 JP5088403 B2 JP 5088403B2
- Authority
- JP
- Japan
- Prior art keywords
- session
- packet
- information
- established
- memory
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/40—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass for recovering from a failure of a protocol instance or entity, e.g. service redundancy protocols, protocol state redundancy or protocol service redirection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
本発明は、プラントネットワークを伝播するパケットをミラーリングにより捕捉して不正な通信を検出する不正通信検出システムに関し、特に、FW(ファイアウォール)のログ解析やIDS(侵入検出システム)の設置、運用に頼らずにプラントネットワーク内でセキュリティの脅威となりうる不正トラフィック(ワーム、ボット、ウイルスの通信、設定ミス、人為的な攻撃など)やその予兆を検出できる不正通信検出システムに関するものである。
近年、インダストリアルオートメーションにおけるプロセス制御システムとして、フィードバック制御ループを構成する流量計や温度計などのセンサ、アクチュエータ、フィールドコントローラを含むフィールド機器がネットワークに接続されたフィールド制御ネットワークが提案されている。
また、プラント全体の動作を最適にするための制御ネットワーク管理システムとして、プラントネットワークも提案されている。
また、プラント全体の動作を最適にするための制御ネットワーク管理システムとして、プラントネットワークも提案されている。
一方、工場にはオフィス用に敷設されたIPネットワークも存在している。IPネットワークは広く普及しており、IPネットワークで多く用いられているイーサネット(登録商標)は、柔軟にネットワークを構築できることから、プラントネットワーク、フィールド制御ネットワークをIPネットワーク上で動作させるようなプロトコルも提案されている。
このようなプロトコルを用いることにより、プラントネットワーク、フィールド制御ネットワークをオフィス用に敷設されたIPネットワークと共存させることができる。
すなわち、センサやアクチュエータなどを直接IPネットワークに接続することができ、メンテナンスや運用面においてより簡単に末端のデバイスにアクセスすることが可能になる。
すなわち、センサやアクチュエータなどを直接IPネットワークに接続することができ、メンテナンスや運用面においてより簡単に末端のデバイスにアクセスすることが可能になる。
これらのネットワークでは、セキュリティの脅威となりうる不正トラフィック(ワーム、ボット、ウイルスの通信、設定ミス、人為的な攻撃など)が発生する可能性がある。不正トラフィックが発生するとプラント運転に影響を与えてしまうことがある。このため、不正トラフィックの特定やネットワーク状況把握する必要があった。
図6は、従来のプラントネットワークにおける不正通信検出システムの一実施例の構成説明図である。
図6において、プラントネットワーク100は、プラント全体の動作を最適にするための制御ネットワーク管理システムであって、具体的には、以下の要素から構成される。
図6において、プラントネットワーク100は、プラント全体の動作を最適にするための制御ネットワーク管理システムであって、具体的には、以下の要素から構成される。
たとえば、フィールド機器を制御しプラントの運転を行うためのコンソール装置であるオペレーションコンソール1、異種のインダストリアルオートメーション制御システムを相互に動作させるためのサーバであって、プロセス由来のデータをマルチベンダ環境で共有しイントラネットの業務システムに転送するOPCサーバ2、ワークステーションであってフィールド制御ネットワークに属する機器に組み込む制御ロジックの開発、改造が行われるエンジニアリングワークステーション3、その他の端末装置(PC−2、PC−3)から構成される。これらオペレーションコンソール1、OPCサーバ2、エンジニアリングワークステーション3はネットワーク100を介して相互に接続される。
このプラントネットワーク100は、浄水場やプラント等に設置され、インダストリアルオートメーションにおけるプロセス制御システムとして、フィードバック制御ループを構成するフィールド機器(流量計や温度計などのセンサ、アクチュエータ、フィールドコントローラを含む機器)により構成される制御バスネットワーク200と接続される。
具体的には、オペレーションコンソール1、エンジニアリングワークステーション2、OPCサーバ3は、制御バスネットワーク200およびプラントネットワーク100に相互に接続される。
プラントネットワーク100は、プラント工場にオフィス用に敷設されたIPネットワーク(以下、イントラネットという)300と接続される。
イントラネット300は、オフィス用の端末装置であるPC−1などから構成され、ネットワーク間の通信を制限する機能を有するファイアウォール(以下、FWという)4を介してインターネット400と接続される。
また、イントラネット300は、FW6を介してプラントネットワーク100と接続される。イントラネット300には、IDS5が接続され、PC−1などにより制御される。IDS5は、FW6とプラントネットワーク100との間の接続線にも接続される。
ここで、プラントネットワーク100は、点線で囲んだ部分には、近年、Windows(登録商標)を搭載した装置やオープンな技術が導入されてきているので、セキュリティに係るリスクが発生している。
このセキュリティに係るリスクについて、IDS5により侵入検知することによりプラントネットワークのセキュリティを確保している。
このセキュリティに係るリスクについて、IDS5により侵入検知することによりプラントネットワークのセキュリティを確保している。
IDS5は、いわゆる侵入検知システムであって従来の不正通信検出システムを構成するものである。IDS5は、プラントネットワーク100を監視して不正なトラフィックを検出することにより、プラントネットワーク100のセキュリティを確保する。
より具体的には、IDS5がシグネチャ型である場合には、IDS5はプラントネットワーク100とFW6間で送受信されるパケットを取得し、取得したパケットを予め記憶されている不正パケットの情報(以下、単に、シグネチャと呼ぶ。)と照合する。IDS5は、パケットの内容とシグネチャとが一致するときは不正なパケットであるものとして通信を遮断する。
また、IDS5がアノマリ型である場合には、IDS5は統計的な手法で予め正常状態が定義されており、現在の状態が予め定義されている正常状態から逸脱した場合に異常であると判断して不正パケットの通過を遮断する。
この結果、従来のプラントネットワークにおける不正通信検出システムは、シグネチャ型(或いは、アノマリ型)のIDSを介してインターネット等の汎用のネットワークに接続することにより、不正なパケットの侵入を検知してこれを遮断することが可能になる。
たとえば、従来のプラントネットワークにおける不正通信検出システムに関連する先行技術文献として下記の特許文献1がある。
従来のプラントネットワークにおける不正通信検出システムでは、サポート切れのアプリケーションやOS(Operation System)が混在した環境であることが多いため、攻撃トラフィック(不正トラフィック)が流れた場合の影響はイントラネットに比べて大きいという問題点があった。
また攻撃トラフィック(不正トラフィック)により、制御バスネットワークに接続するフィールド機器の動作に影響を与えることもあり、プラントを最適に運転させることができなくなってしまうという問題点もあった。
また、プラントネットワークに接続される機器に脆弱性が発見され、当該機器が備えるソフトウェア等のセキュリティパッチが入手可能になったとしても、予定外のプラント運転の停止、プロセス制御システムの停止は、生産計画に影響するなどの理由で、すぐにシステムを停止してパッチなどの適用ができない場合が多いという問題点もあった。
これらの問題点に対しては、上述のようにIDSでトラフィックを監視し、または、FWのログを解析してプラントネットワークを監視するものが提案されているが、以下の問題点(A)〜(C)があった。
(A)IDSによる監視では、攻撃トラフィック(不正トラフィック)がプラントネットワーク上を流れた後にのみ攻撃を検知できるだけであり、制御バスネットワークに接続するフィールド機器の動作に影響を与えてしまうことがあるという問題点があった。
つまり、プラントネットワークでは、攻撃トラフィックが流れてしまうと被害が大きくなるので、事前に検知のできないIDSによる監視では不十分であるという問題点があった。
つまり、プラントネットワークでは、攻撃トラフィックが流れてしまうと被害が大きくなるので、事前に検知のできないIDSによる監視では不十分であるという問題点があった。
(B)IDSによる監視では、既知の攻撃しか検出できないので、新たな攻撃パターンによる攻撃トラフィック(不正トラフィック)を検知できないという問題点があった。
(C)FWのログの監視には特殊なスキルが必要であるという問題点、リアルタイムにトラフィックを監視することは困難であるという問題点もあった。
本発明は、このような問題点を解決するものであり、その目的は、FW(ファイアウォール)のログ解析やIDS(侵入検出システム)の設置、運用に頼らずに、プラントネットワーク内でセキュリティの脅威となりうる不正トラフィック(ワーム、ボット、ウイルスの通信、設定ミス、人為的な攻撃など)やその予兆を検出できる不正通信検出システムを実現することにある。
上記目的を達成するために、本発明のうち請求項1に記載の発明は、
プラントネットワークを伝播するパケットをミラーリングにより捕捉して不正な通信を検出する不正通信検出システムにおいて、
前記プラントネットワークで発生しうるセッションのリストであるセッションホワイトリスト、および前記プラントネットワークで発生しうるトラフィックパターンのリストであるトラフィックパターンホワイトリストを予め記憶する記憶手段と、
前記捕捉されたパケットに基づいてセッション成立の成否を判定し、成立しているセッションを示すセッション情報を生成するとともに、前記捕捉されたパケットに基づいてセッション成立の成否を判定し、セッションが成立していないパケットを示すセッション不成立パケット情報を生成するセッション判定分離部と、
前記セッション不成立パケット情報に基づき、セッション不成立のパケットのトラフィックパターンを示すトラフィックパターン情報を生成するトラフィックパターン判定手段と、
前記セッション判定分離部により生成された前記セッション情報を前記セッションホワイトリストと比較し、前記セッションホワイトリスト中のいずれのセッションにも適合しないときは当該セッションに係る通信を不正な通信として検出する第1の不正通信検出手段と、
生成された前記トラフィックパターン情報を前記トラフィックパターンホワイトリストと比較し、前記トラフィックパターンホワイトリスト中のいずれのトラフィックパターンにも適合しないときは当該トラフィックパターン情報に係る通信を不正な通信として検出する第2の不正通信検出手段と、
を備えたことを特徴とする不正通信検出システムである。
プラントネットワークを伝播するパケットをミラーリングにより捕捉して不正な通信を検出する不正通信検出システムにおいて、
前記プラントネットワークで発生しうるセッションのリストであるセッションホワイトリスト、および前記プラントネットワークで発生しうるトラフィックパターンのリストであるトラフィックパターンホワイトリストを予め記憶する記憶手段と、
前記捕捉されたパケットに基づいてセッション成立の成否を判定し、成立しているセッションを示すセッション情報を生成するとともに、前記捕捉されたパケットに基づいてセッション成立の成否を判定し、セッションが成立していないパケットを示すセッション不成立パケット情報を生成するセッション判定分離部と、
前記セッション不成立パケット情報に基づき、セッション不成立のパケットのトラフィックパターンを示すトラフィックパターン情報を生成するトラフィックパターン判定手段と、
前記セッション判定分離部により生成された前記セッション情報を前記セッションホワイトリストと比較し、前記セッションホワイトリスト中のいずれのセッションにも適合しないときは当該セッションに係る通信を不正な通信として検出する第1の不正通信検出手段と、
生成された前記トラフィックパターン情報を前記トラフィックパターンホワイトリストと比較し、前記トラフィックパターンホワイトリスト中のいずれのトラフィックパターンにも適合しないときは当該トラフィックパターン情報に係る通信を不正な通信として検出する第2の不正通信検出手段と、
を備えたことを特徴とする不正通信検出システムである。
請求項2記載の発明は、請求項1に記載の不正通信検出システムにおいて、
前記セッション判定分離部が、
前記捕捉されたパケットに基づき、過去に成立したセッションの実績情報を示すセッション特徴情報を生成し、
このセッション特徴情報に基づき前記セッションホワイトリストを生成するホワイトリスト生成手段を備えたことを特徴とする。
前記セッション判定分離部が、
前記捕捉されたパケットに基づき、過去に成立したセッションの実績情報を示すセッション特徴情報を生成し、
このセッション特徴情報に基づき前記セッションホワイトリストを生成するホワイトリスト生成手段を備えたことを特徴とする。
請求項4記載の発明は、請求項1または2に記載の不正通信検出システムにおいて、
前記セッション判定分離部は、
前記捕捉されたパケットを時系列に複数のメモリブロックに記憶するセッション検出用ワークメモリと、
前記セッションが成立しているパケットを時系列に複数のメモリブロックに記憶するセッション情報用メモリと、
前記捕捉されたパケットに対応するセッションの成立相手となるパケットが前記セッション検出用ワークメモリの最古のメモリブロック内に記憶されるパケットの中から検出されると、当該捕捉されたパケットにセッション成立した旨を示す成立情報を付記して最新のセッション検出用ワークメモリのメモリブロックに記憶するデータ処理手段と、
対応するセッションの成立相手となるパケットが前記セッション検出用ワークメモリに記憶されていない前記捕捉されたパケットについて、前記セッション情報用メモリに同パケットにセッションが成立した旨を示す成立情報が付記されて記録されているときは、セッションが成立した実績があるものと判定して当該セッションに基づきセッション情報を生成すると共に、このパケットを前記セッション情報用メモリの最新のメモリブロックに記憶する定期処理手段を備えたことを特徴とする。
前記セッション判定分離部は、
前記捕捉されたパケットを時系列に複数のメモリブロックに記憶するセッション検出用ワークメモリと、
前記セッションが成立しているパケットを時系列に複数のメモリブロックに記憶するセッション情報用メモリと、
前記捕捉されたパケットに対応するセッションの成立相手となるパケットが前記セッション検出用ワークメモリの最古のメモリブロック内に記憶されるパケットの中から検出されると、当該捕捉されたパケットにセッション成立した旨を示す成立情報を付記して最新のセッション検出用ワークメモリのメモリブロックに記憶するデータ処理手段と、
対応するセッションの成立相手となるパケットが前記セッション検出用ワークメモリに記憶されていない前記捕捉されたパケットについて、前記セッション情報用メモリに同パケットにセッションが成立した旨を示す成立情報が付記されて記録されているときは、セッションが成立した実績があるものと判定して当該セッションに基づきセッション情報を生成すると共に、このパケットを前記セッション情報用メモリの最新のメモリブロックに記憶する定期処理手段を備えたことを特徴とする。
請求項4記載の発明は、請求項3に記載の不正通信検出システムにおいて、
前記セッション判定分離部は、前記セッションが不成立であるパケットを記憶する待ち合わせ用メモリを備え、
前記定期処理手段が、対応するセッションの成立相手となるパケットが前記セッション検出用ワークメモリに記憶されていない前記捕捉されたパケットであって、前記セッション情報用メモリにおいても同パケットにセッションが成立した旨を示す成立情報が付記されていないパケットは、セッションが成立していないパケットと判定し、このパケットを前記待ち合わせ用メモリに記憶すると共に当該パケットに基づき前記セッション不成立パケット情報を生成することを特徴とする。
前記セッション判定分離部は、前記セッションが不成立であるパケットを記憶する待ち合わせ用メモリを備え、
前記定期処理手段が、対応するセッションの成立相手となるパケットが前記セッション検出用ワークメモリに記憶されていない前記捕捉されたパケットであって、前記セッション情報用メモリにおいても同パケットにセッションが成立した旨を示す成立情報が付記されていないパケットは、セッションが成立していないパケットと判定し、このパケットを前記待ち合わせ用メモリに記憶すると共に当該パケットに基づき前記セッション不成立パケット情報を生成することを特徴とする。
本発明によれば、プラントネットワークで発生しうるセッションのリストであるセッションホワイトリストを予め記憶する記憶手段と、補足されたパケットに基づいてセッション成立の成否を判定し、成立しているセッションを示すセッション情報を生成するセッション判定分離部と、セッション判定分離部により生成されたセッション情報をセッションホワイトリストと比較し、セッションホワイトリスト中のいずれのセッションにも適合しないときは当該セッションに係る通信を不正な通信として検出する第1の不正通信検出手段を備えたことにより、FW(ファイアウォール)のログ解析やIDS(侵入検出システム)の設置、運用に頼らずにプラントネットワーク内でセキュリティの脅威となりうる不正トラフィック(ワーム、ボット、ウイルスの通信、設定ミス、人為的な攻撃など)やその予兆を検出できる点で有効である。
また請求項2の発明によれば、記憶手段が、プラントネットワークで発生しうるトラフィックパターンのリストであるトラフィックパターンホワイトリストを予め記憶し、セッション判定分離部が、補足されたパケットに基づいてセッション成立の成否を判定し、セッションが成立していないパケットを示すセッション不成立パケット情報を生成し、セッション不成立パケット情報に基づき、セッション不成立のパケットのトラフィックパターンを示すトラフィックパターン情報を生成するトラフィックパターン判定手段と、生成されたトラフィックパターン情報をトラフィックパターンホワイトリストと比較し、トラフィックパターンホワイトリスト中のいずれのトラフィックパターンにも適合しないときは当該トラフィックパターン情報に係る通信を不正な通信として検出する第2の不正通信検出手段を備えたことにより、UDPのようなセッション成立に際して、応答パケットの送信を不要とするようなプロトコルによる通信であっても、FWのログ解析やIDSの設置、運用に頼らずにプラントネットワーク内でセキュリティの脅威となりうる不正トラフィック(ワーム、ボット、ウイルスの通信、設定ミス、人為的な攻撃など)やその予兆を検出できる点で有効である。
また、本発明によれば、本発明の不正通信検出システムは、上述のような構成とすることにより、不正トラフィックをリアルタイムに検知できるだけでなく、ホワイトリストに適合しないパケット(不正通信)をリアルタイムに検知できるためセキュリティの脅威の予兆が検知できる点で有効である。
また、本発明の不正通信検出システムは、上述のような構成とすることにより、プラントネットワークにワームやボットウィルスに感染してしまった場合に(ネットワーク経由の場合も、ネットワーク経由ではなく、USBメモリ経由の場合であっても)、ワームやボットの活動による不正なトラフィックの予兆を迅速に検知できる点で有効である。
また、本発明の不正通信検出システムは、上述のような構成とすることにより、プラントネットワークにワームやボットウィルスに感染してしまった場合に(ネットワーク経由の場合も、ネットワーク経由ではなく、USBメモリ経由の場合であっても)、ワームやボットの活動による不正なトラフィックの予兆を迅速に検知できる点で有効である。
<第1の実施例>
本発明は、プラントネットワークのデフォルトゲートウェイには、ワームやウイルス、ボットの通信、および、それらの予兆の通信が届くため、デフォルトゲートウェイのトラフィックを監視すれば、これらのセキュリティの脅威を発見できることに着目したものである。
(構成の概要)
以下、図面を参照して、本発明を詳細に説明する。図1は本発明の不正通信検出システムの一実施例の構成説明図であり、図6と共通する部分には同一の符号を付けて適宜説明を省略する。
本発明は、プラントネットワークのデフォルトゲートウェイには、ワームやウイルス、ボットの通信、および、それらの予兆の通信が届くため、デフォルトゲートウェイのトラフィックを監視すれば、これらのセキュリティの脅威を発見できることに着目したものである。
(構成の概要)
以下、図面を参照して、本発明を詳細に説明する。図1は本発明の不正通信検出システムの一実施例の構成説明図であり、図6と共通する部分には同一の符号を付けて適宜説明を省略する。
図6との相違点は、主に、記憶手段がプラントネットワークで発生しうるセッションのリストであるセッションホワイトリストを予め記憶し、セッション判定分離部が捕捉されたパケットに基づいてセッション成立の成否を判定し、成立しているセッションを示すセッション情報を生成し、第1の不正通信検出手段がセッション判定分離部により生成されたセッション情報をセッションホワイトリストと比較し、セッションホワイトリスト中のいずれのセッションにも適合しないときは当該セッションに係る通信を不正な通信として検出する点が相違する。
図1において、本発明の不正通信検出システム1は、主に、イントラネット300と接続され、FW6とプラントネットワーク100との間の接続線にも接続される検出装置50から構成される。本発明の不正通信検出システム1は、イントラネット300に接続され、検出装置50の検出結果を表示するコンソール装置60とからも構成されるものでもよい。
検出装置50は、プラントネットワーク100を監視して不正なトラフィックを検出し、セキュリティの脅威を発見、脅威を発見した場合には、イベントとしてコンソール装置60に通知することにより、プラントネットワーク100のセキュリティを確保する。
なお、本発明の不正通信検出システムは、検出装置50を設置することで、プラントネットワーク100に影響を与えたり、攻撃者に検出装置50を踏み台にされてプラントネットワーク100を攻撃されたりすることを避けるため、以下の項目を考慮した構成にしている。
(イ)デフォルトゲートウェイにあるFW(または、レイヤ3スイッチ)のプラントネットワーク100側のトラフィックをミラーしてから、キャプチャする。
(ロ)プラントネットワーク100に直接接続させない
(イ)デフォルトゲートウェイにあるFW(または、レイヤ3スイッチ)のプラントネットワーク100側のトラフィックをミラーしてから、キャプチャする。
(ロ)プラントネットワーク100に直接接続させない
具体的には、検出装置50は、特に図示しないが、FW6とプラントネットワーク100とを接続するスイッチ(図示せず)からミラーリングによりプラントネットワークを伝播するパケットをキャプチャ(捕捉)して不正な通信を検出する。
具体的には、検出装置50は、スイッチ(図示せず)のポートの1つを、指定したポート(ソースポート)に流れるパケットをコピーして出力するミラーポートとして設定し、そのミラーポートに検出装置の通信手段(監視用インタフェースなど)を接続し、プラントネットワーク300を伝播するパケットをキャプチャする。
具体的には、検出装置50は、スイッチ(図示せず)のポートの1つを、指定したポート(ソースポート)に流れるパケットをコピーして出力するミラーポートとして設定し、そのミラーポートに検出装置の通信手段(監視用インタフェースなど)を接続し、プラントネットワーク300を伝播するパケットをキャプチャする。
図2は図1の検出装置の構成説明図である。
図2において、検出装置50は、プラントネットワーク100で発生しうるセッションのリストであるセッションホワイトリスト51aを予め記憶する記憶手段51と、FW6とプラントネットワーク100とを接続するスイッチ(図示せず)からミラーリングによりプラントネットワーク100を伝播するパケットを捕捉するパケットキャプチャ手段52と、パケットキャプチャ手段52により捕捉されたパケットに基づいてセッション成立の成否を判定し、成立しているセッションを示す「セッション情報」を生成するセッション判定分離部53と、セッション判定分離部53により生成された「セッション情報」をセッションホワイトリスト51aと比較し、セッションホワイトリスト51a中のいずれのセッションにも適合しないときは当該セッションに係る通信を不正な通信として検出する第1の不正通信検出手段54とから構成される。
図2において、検出装置50は、プラントネットワーク100で発生しうるセッションのリストであるセッションホワイトリスト51aを予め記憶する記憶手段51と、FW6とプラントネットワーク100とを接続するスイッチ(図示せず)からミラーリングによりプラントネットワーク100を伝播するパケットを捕捉するパケットキャプチャ手段52と、パケットキャプチャ手段52により捕捉されたパケットに基づいてセッション成立の成否を判定し、成立しているセッションを示す「セッション情報」を生成するセッション判定分離部53と、セッション判定分離部53により生成された「セッション情報」をセッションホワイトリスト51aと比較し、セッションホワイトリスト51a中のいずれのセッションにも適合しないときは当該セッションに係る通信を不正な通信として検出する第1の不正通信検出手段54とから構成される。
ここで、セッションホワイトリスト51aの例を以下の表1に示す。
また、記憶手段51が、プラントネットワーク100で発生しうるトラフィックパターンのリストであるトラフィックパターンホワイトリスト51bを予め記憶するものでもよい。ここで、トラフィックパターンホワイトリスト51bの例を以下の表2に示す。このトラフィックパターンホワイトリスト51bは、一定期間、本システムを稼動させ、トラフィックパターンを集めて作成するものでもよい。
トラフィックパターンは後述の、パケットの伝播の仕方の違いにより分類された、”Normal”、”Port_Scan”、”Port_Scan2”、Network_Scan”、”Network_Scan2”及び”Network_Scan3”の6つのタイプのパターンから成るものでよい。
また、セッション判定分離部53が、捕捉されたパケットに基づいてセッション成立の成否を判定し、セッションが成立していないパケットを示す「セッション不成立パケット情報」を生成するものでもよい。
また、セッション判定分離部53が、捕捉されたパケットに基づいて、過去に成立したセッションの実績情報を示す「セッション特徴情報」を生成するものでもよい。
また、セッション判定分離部53が、捕捉されたパケットに基づいて、過去に成立したセッションの実績情報を示す「セッション特徴情報」を生成するものでもよい。
セッション判定分離部53は、セッション判定分離部53から捕捉したパケットを取得し、または記憶手段52からセッション判定分離部53が捕捉したパケットを取得する。
そして、セッション判定分離装置53は、取得したパケットに基づき、以下の表3に示した「セッション情報」、「セッション特徴情報」、「セッション不成立パケット情報」の3種類の情報のうち少なくともいずれかの情報を抽出し生成するものでよい。
そして、セッション判定分離装置53は、取得したパケットに基づき、以下の表3に示した「セッション情報」、「セッション特徴情報」、「セッション不成立パケット情報」の3種類の情報のうち少なくともいずれかの情報を抽出し生成するものでよい。
また、検出装置50は、セッション不成立パケット情報に基づき、セッション不成立のパケットのトラフィックパターンを示すトラフィックパターン情報を生成するトラフィックパターン判定手段55と、トラフィックパターン判定手段55により生成されたトラフィックパターン情報をトラフィックパターンホワイトリスト51bと比較し、トラフィックパターンホワイトリスト51b中のいずれのトラフィックパターンにも適合しないときは当該トラフィックパターン情報に係る通信を不正な通信として検出する第2の不正通信検出手段56からも構成されるものでもよい。
パケットキャプチャ手段52は、捕捉したパケットの内容を調べ、セッションの組を見つけるために必要なパケット情報を抽出する。パケットキャプチャ手段52は、たとえば、IPv4のTCP/UDP/ICMPの場合は、以下の表4に示す情報を抽出する。
そして、抽出した情報または捕捉したパケットをセッション判定分離部53に送信する、または記憶手段52に記憶させる。
そして、抽出した情報または捕捉したパケットをセッション判定分離部53に送信する、または記憶手段52に記憶させる。
第1の不正通信判定手段54は、セッション判定分離部53が生成したセッション情報を取得して、記憶手段51に記憶されるセッションホワイトリスト51aと比較し、比較結果(たとえば検出された不正通信の情報)を通信手段を介してコンソール装置60に送信する。第1の不正通信判定手段54から送信される比較結果(たとえば検出された不正通信の情報)は、コンソール装置60の表示手段(モニタ)等に表示される。
トラフィックパターン判定手段55は、セッション判定分離部53が生成したセッション不成立パケット情報を取得して、これら取得したパケットに基づきトラフィックパターンを生成する。判定・変換のアルゴリズムは、たとえば関連特許、特許出願(特許4479459号、特許4415380号、特開2007−221311号公報)に記載のものを使用するものでよい。
具体的には、トラフィックパターン判定手段55は、捕捉したパケットの送信先ポート、タイプまたはこれらの一方若しくは両方の組み合わせによるトラフィックパターン(分類)を自動する。
たとえば、トラフィックパターン判定手段55は、受信(捕捉)したパケットの伝播の仕方の違いにより、”Normal”、”Port_Scan”、”Port_Scan2”、Network_Scan”、”Network_Scan2”及び”Network_Scan3”の6つのタイプに分類する。
たとえば、トラフィックパターン判定手段55は、受信(捕捉)したパケットの伝播の仕方の違いにより、”Normal”、”Port_Scan”、”Port_Scan2”、Network_Scan”、”Network_Scan2”及び”Network_Scan3”の6つのタイプに分類する。
トラフィックパターン判定手段55は、たとえば、セッション不成立パケットの送信元ポート番号の種類数と送信先ポート番号の種類数とが同じであり、尚且つ、送信先ネットワークのアドレスの種類数と送信先ホストのアドレス種類数とが同じである場合にタイプ”Normal”に分類する。
また、トラフィックパターン判定手段55は、セッション不成立パケットの送信元ポート番号の種類数の方が送信先ポート番号の種類数よりも多く、尚且つ、送信先ネットワークのアドレスの種類数と送信先ホストのアドレス種類数とが同じである場合にタイプ”Port_Scan”に分類する。
また、トラフィックパターン判定手段55は、セッション不成立パケットの送信元ポート番号の種類数の方が送信先ポート番号の種類数よりも少なく、尚且つ、送信先ネットワークのアドレスの種類数と送信先ホストのアドレス種類数とが同じである場合にタイプ”Port_Scan2”に分類する。
また、トラフィックパターン判定手段55は、セッション不成立パケットの送信元ポート番号の種類数の方が送信先ポート番号の種類数よりも多く、尚且つ、送信先ネットワークのアドレスの種類数と送信先ホストのアドレス種類数とが同じである場合にタイプ”Port_Scan”に分類する。
また、トラフィックパターン判定手段55は、セッション不成立パケットの送信元ポート番号の種類数の方が送信先ポート番号の種類数よりも少なく、尚且つ、送信先ネットワークのアドレスの種類数と送信先ホストのアドレス種類数とが同じである場合にタイプ”Port_Scan2”に分類する。
また、トラフィックパターン判定手段55は、セッション不成立パケットの送信元ポート番号の種類数の方が送信先ポート番号の種類数よりも多く、尚且つ、送信先ネットワークのアドレスの種類数の方が送信先ホストのアドレス種類数よりも少ない場合にタイプ”Network_Scan”に分類する。
また、トラフィックパターン判定手段55は、セッション不成立パケットの送信元ポート番号の種類数と送信先ポート番号の種類数と同じであり、尚且つ、送信先ネットワークのアドレスの種類数の方が送信先ホストのアドレス種類数よりも少ない場合にタイプ”Network_Scan2”に分類する。
また、トラフィックパターン判定手段55は、セッション不成立パケットの送信元ポート番号の種類数の方が送信先ポート番号の種類数よりも少なく、尚且つ、送信先ネットワークのアドレスの種類数の方が送信先ホストのアドレス種類数よりも少ない場合にタイプ”Network_Scan3”に分類する。
また、トラフィックパターン判定手段55は、セッション不成立パケットの送信元ポート番号の種類数と送信先ポート番号の種類数と同じであり、尚且つ、送信先ネットワークのアドレスの種類数の方が送信先ホストのアドレス種類数よりも少ない場合にタイプ”Network_Scan2”に分類する。
また、トラフィックパターン判定手段55は、セッション不成立パケットの送信元ポート番号の種類数の方が送信先ポート番号の種類数よりも少なく、尚且つ、送信先ネットワークのアドレスの種類数の方が送信先ホストのアドレス種類数よりも少ない場合にタイプ”Network_Scan3”に分類する。
第2の不正通信判定手段56は、トラフィックパターン判定手段55が生成したトラフィックパターン情報を取得して、記憶手段51に記憶されるトラフィックパターンセッションホワイトリスト51bと比較し、比較結果(たとえば検出された不正通信の情報)を通信手段を介してコンソール装置60に送信する。第1の不正通信判定手段54から送信される比較結果は、コンソール装置60の表示手段(モニタ)等に表示される。
また、セッション判定分離部53は、捕捉されたパケットに基づき、過去に成立したセッションの実績情報を示すセッション特徴情報を生成するものでもよい。このセッション特徴情報に基づきセッションホワイトリスト51bを生成するホワイトリスト生成手段を備えるものでもよい。
なお、検出装置50は、特に図示しないが、プラントネットワーク100を介してパケット通信を行う第1の通信手段と、イントラネット300を介してパケット通信を行う第2の通信手段と、この検出装置50全体を制御し、不正通信を検出するCPUなどの演算制御手段を有する。
また、記憶手段51は、たとえばRAM(Random Access Memory)やROM(ROM - Read Only Member)などであり、主にOS(Operating System)や、検出装置50として動作させるためのプログラムやアプリケーション、これらプログラムなどの実行時に使用されるデータ、コンソール装置60等に到達するまでの経路情報(IPアドレス、MACアドレス等のネットワーク情報)などの各種情報を格納する。
演算制御手段は、記憶手段51に格納されているOSなどを起動して、このOS上で格納されたプログラムを読み出し実行することにより各機器または各部全体を制御し、各機器または各部固有の動作を行う。このとき記憶手段は、演算制御手段によって実行されるプログラムやアプリケーションをプログラム格納エリアに展開し、入力されたデータや、プログラムやアプリケーションの実行時に生じる処理結果などのデータをワークエリアに一時的に記憶するものであってもよい。
図3は図2のセッション判定分離部の構成ブロック図である。
図3において、セッション判定分離部53は、捕捉されたパケット(またはパケットキャプチャ手段52により抽出されたパケット情報)を時系列に複数のメモリブロックに記憶するセッション検出用ワークメモリ53aと、セッションが成立しているパケット(またはパケットキャプチャ手段52により抽出されたパケット情報)を時系列に複数のメモリブロックに所定期間分記憶するセッション情報用メモリ53bと、セッションが不成立であるパケット(またはパケットキャプチャ手段52により抽出されたパケット情報)を所定期間分記憶する待ち合わせ用メモリ53cから構成される。
図3において、セッション判定分離部53は、捕捉されたパケット(またはパケットキャプチャ手段52により抽出されたパケット情報)を時系列に複数のメモリブロックに記憶するセッション検出用ワークメモリ53aと、セッションが成立しているパケット(またはパケットキャプチャ手段52により抽出されたパケット情報)を時系列に複数のメモリブロックに所定期間分記憶するセッション情報用メモリ53bと、セッションが不成立であるパケット(またはパケットキャプチャ手段52により抽出されたパケット情報)を所定期間分記憶する待ち合わせ用メモリ53cから構成される。
セッション検出用ワークメモリ53aは、セッションが成立するパケットの組を見つけるために使用するメモリである。
セッション検出用ワークメモリ53aは、最古のメモリブロックから最新のメモリブロックまで、定期処理手段53eによる定期処理の間隔と同じ時間幅の単位のブロックでパケットに関する情報を記憶し、管理する。
セッション検出用ワークメモリ53aは、最古のメモリブロックから最新のメモリブロックまで、定期処理手段53eによる定期処理の間隔と同じ時間幅の単位のブロックでパケットに関する情報を記憶し、管理する。
セッション情報用メモリ53bは、セッションが成立したパケットに関して、セッション情報を一定期間保存しておくメモリである。
セッション情報用メモリ53bは、最古メモリブロックから最新メモリブロックまで、定期処理手段53eによる定期処理の間隔と同じ幅の単位のブロックでパケットに関する情報を記憶し、管理する。
セッション情報用メモリ53bは、最古メモリブロックから最新メモリブロックまで、定期処理手段53eによる定期処理の間隔と同じ幅の単位のブロックでパケットに関する情報を記憶し、管理する。
待ち合わせ用メモリ53cは、セッションが成立しなかったパケットを、パケットの時間順に出力するために必要な期間保持するためのメモリである。
また、待ち合わせ用メモリ53cは、最古メモリブロックから最新メモリブロックまで、定期処理手段53eによる定期処理の間隔と同じ幅の単位のブロックでパケットに関する情報を記憶し、管理する。
また、待ち合わせ用メモリ53cは、最古メモリブロックから最新メモリブロックまで、定期処理手段53eによる定期処理の間隔と同じ幅の単位のブロックでパケットに関する情報を記憶し、管理する。
ここで、セッションが成立するということは、通信相手が存在する(通信が一方通行ではなく、一定期間内に、双方向で行われる)ことを意味するものとする。セッション判定分離部53はセッションの成立の成否についての条件情報を予め有する。ここで、セッション成立しているものしてと判断するための条件例を以下に示す。
(X)IPv4/TCP(Transmission Control Protocol)による通信の場合
ホストAから、ホストBに対して、SYN(Synchronize)パケットが送られたとき、一定期間内に、ホストBからホストAに、対応するSYN/ACK(ACKnowledgement)パケットが返る場合に、ホストAとホストBを「組」とする。
ここで、「対応する」とは、「送信元ポート番号」、「送信先ポート番号」、「Sequence Number」、「Acknowledgement Number」などに矛盾が無いことを意味する。
ホストAから、ホストBに対して、SYN(Synchronize)パケットが送られたとき、一定期間内に、ホストBからホストAに、対応するSYN/ACK(ACKnowledgement)パケットが返る場合に、ホストAとホストBを「組」とする。
ここで、「対応する」とは、「送信元ポート番号」、「送信先ポート番号」、「Sequence Number」、「Acknowledgement Number」などに矛盾が無いことを意味する。
(Y)IPv4/UDP(User Datagram Protocol)による通信の場合
ホストAから、ホストBに対して、UDPパケットが送られたとき、一定期間内に、ホストBからホストAに、対応するUDPパケットが返る場合に、ホストAとホストBを「組」とする。
ここで、「対応する」とは、「送信元ポート番号」、「送信先ポート番号」に矛盾がないことを意味する。
ホストAから、ホストBに対して、UDPパケットが送られたとき、一定期間内に、ホストBからホストAに、対応するUDPパケットが返る場合に、ホストAとホストBを「組」とする。
ここで、「対応する」とは、「送信元ポート番号」、「送信先ポート番号」に矛盾がないことを意味する。
(Z)IPv4/ICMP(Internet Control Message Protocol)による通信の場合
ホストAから、ホストBに対して、「ICMP_ECHO」、 「ICMP_TIMESTAMP」、「ICMP_INFO_REQUEST」または、「ICMP_ADDRESS」が送信されたとき、一定期間内に、ホストBから、ホストAに、それぞれ、「ICMP_ECHOREPLY」、「ICMP_TIMESTAMPREPLY」、「ICMP_INFO_REPLY」または 、「ICMP_ADDRESSREPLY」が返信される場合に、ホストAとホストBを「組」とする。
ホストAから、ホストBに対して、「ICMP_ECHO」、 「ICMP_TIMESTAMP」、「ICMP_INFO_REQUEST」または、「ICMP_ADDRESS」が送信されたとき、一定期間内に、ホストBから、ホストAに、それぞれ、「ICMP_ECHOREPLY」、「ICMP_TIMESTAMPREPLY」、「ICMP_INFO_REPLY」または 、「ICMP_ADDRESSREPLY」が返信される場合に、ホストAとホストBを「組」とする。
また、セッション判定分離部53は、データ処理手段53d、定期処理手段53e、定期的に時刻イベントまたはトリガを発生するタイマー手段53f、FIFO(リングバッファメモリ)であり、パケットキャプチャ手段52から受信するパケットの時系列のパケット情報やタイマーからの時刻イベントまたはトリガを格納するタスクキュー手段53g、タスクキュー手段53gを定期的に監視し、タスクキュー内に何らかのタスクがあった場合に、タスクの内容に応じた処理を起動するタスク管理手段53hからも構成される。
データ処理手段53dは、捕捉されたパケットに対応するセッションの成立相手となるパケットがセッション検出用ワークメモリ53aの最古のメモリブロック内に記憶されるパケットの中から検出されると、当該捕捉されたパケットにセッション成立した旨を示す成立情報を付記して(セッションが成立したという印をつけて)セッション検出用ワークメモリ53aの最新のメモリブロックに記憶する。
定期処理手段53eは、対応するセッションの成立相手となるパケットがセッション検出用ワークメモリに記憶されていない捕捉されたパケットについて、セッション情報用メモリ53bに同パケット(同種のパケット、パケットキャプチャ手段52により抽出された同種のパケット情報)にセッションが成立した旨を示す成立情報が付記されて記録されているときは、セッションが成立した実績があるものと判定して当該セッションに係わるセッション情報を生成すると共に、このパケットをセッション情報用メモリ53bの最新のメモリブロックに記憶する。
定期処理手段53eが生成するセッション情報は、セッション開始時刻、セッションの長さ、セッションの向きとプロトコル情報、セッションのステータス(通信中/終了)のうち少なくともいずれかを含むものである。
定期処理手段53eはセッション情報用メモリ53bの最古のメモリブロック内のパケットに関する情報を取り出し、「送信元IPアドレス、送信先IPアドレス、サービス」の組がユニークになるように加工して、セッション特徴情報を生成する。
また、定期処理手段53eは、対応するセッションの成立相手となるパケットがセッション検出用ワークメモリ53aに記憶されていない捕捉されたパケットであって、セッション情報用メモリ53bにおいても同パケット(同種のパケット)にセッションが成立した旨を示す成立情報が付記されていないパケットは、セッションが成立していないパケットと判定しセッション不成立パケット情報に記憶すると共に、このパケットを待ち合わせ用メモリ53cに記憶する。
(動作の説明)
このような構成で、本発明の不正通信検出装置は次の動作(1)〜(3)、(イ−1)〜(イ−2)、(ロー1)〜(ロー6)、(ハ−1)〜(ハ−3)、(ニ−1)〜(ニ−5)を行う。
(1)パケットキャプチャ手段52は、トラフィックをキャプチャするたびに、パケット情報を抽出し、タスクキュー手段53gに入力する。
(2)タイマー53fは、時刻情報を定期的にタスクキュー手段53gに入力する。
このような構成で、本発明の不正通信検出装置は次の動作(1)〜(3)、(イ−1)〜(イ−2)、(ロー1)〜(ロー6)、(ハ−1)〜(ハ−3)、(ニ−1)〜(ニ−5)を行う。
(1)パケットキャプチャ手段52は、トラフィックをキャプチャするたびに、パケット情報を抽出し、タスクキュー手段53gに入力する。
(2)タイマー53fは、時刻情報を定期的にタスクキュー手段53gに入力する。
(3)セッション判定分離部53は、「(イ)データ処理」および「(ロ)定期処理」を実行する。ここで、タスク管理手段53hは、タスクキュー手段53gを監視して、タスクがある場合は、タスクを一つ取り出し、そのタスクがパケット情報の場合には「(イ)データ処理」を実行し、時刻イベントの場合には「(ロ)定期処理」を実行する。
図4は、本発明の不正通信検出装置のセッション判定分離部の動作説明図、図5は本発明の不正通信検出装置の動作説明図である。以下、図4、図5中の(イ−1)〜(イ−2)、(ロ−1)〜(ロ−5)、(ハ−1)〜(ハ−3)、(ニ−1)〜(ニ−5)の各動作処理を示す処理番号にあわせて説明する。ここで(イ−1)〜(イ−2)は「データ処理」を、(ロ−1)〜(ロ−5)は「定期処理」の動作を説明している。
(イ)データ処理について
(イ−1)
データ処理手段53dは、タスクキュー手段53gに格納されたパケット(パケットキャプチャ手段52により捕捉されたパケット)に対応するセッションの成立相手となるパケットを、セッション検出用ワークメモリ53aの最古のメモリブロックから新しいメモリブロックの順番に各メモリブロック内に記憶されるパケットの中から検索する。
(イ−1)
データ処理手段53dは、タスクキュー手段53gに格納されたパケット(パケットキャプチャ手段52により捕捉されたパケット)に対応するセッションの成立相手となるパケットを、セッション検出用ワークメモリ53aの最古のメモリブロックから新しいメモリブロックの順番に各メモリブロック内に記憶されるパケットの中から検索する。
(イ−2)
データ処理手段53dは、捕捉されたパケットに関して、「セッションの成立相手となるパケット」を検出すると、当該捕捉されたパケットにセッション成立した旨を示す成立情報を付記する(セッションが成立したという印をつける)。
また、データ処理手段53dは、セッション検出用ワークメモリ53aの最新のメモリブロックにセッション成立した旨を示す成立情報を付記された当該キャプチャされたパケットに関する情報を記憶(追加)する。
データ処理手段53dは、捕捉されたパケットに関して、「セッションの成立相手となるパケット」を検出すると、当該捕捉されたパケットにセッション成立した旨を示す成立情報を付記する(セッションが成立したという印をつける)。
また、データ処理手段53dは、セッション検出用ワークメモリ53aの最新のメモリブロックにセッション成立した旨を示す成立情報を付記された当該キャプチャされたパケットに関する情報を記憶(追加)する。
(ロ)定期処理について
(ロ−1)
定期処理手段53eは、セッション検出用ワークメモリ53aの最古のメモリブロックから、メモリブロック内に含まれる全てのパケットに関する情報を取得する。
定期処理手段53eは、各パケットの情報を検査して、セッションが成立した旨を示す情報が付記されているかどうか(セッションが成立したという印があるかどうか)を確認する。定期処理手段53eは、セッションが成立した旨を示す情報が付記されている(セッションが成立した印がある)パケットは、「セッションが成立した」ものと判定する。
(ロ−1)
定期処理手段53eは、セッション検出用ワークメモリ53aの最古のメモリブロックから、メモリブロック内に含まれる全てのパケットに関する情報を取得する。
定期処理手段53eは、各パケットの情報を検査して、セッションが成立した旨を示す情報が付記されているかどうか(セッションが成立したという印があるかどうか)を確認する。定期処理手段53eは、セッションが成立した旨を示す情報が付記されている(セッションが成立した印がある)パケットは、「セッションが成立した」ものと判定する。
(ロ−2)
定期処理手段53eは、セッションが成立した旨を示す情報が付記されていない(セッションが成立した印がない)パケットについては、過去一定期間内にセッションが成立した記録があるかどうかを確認するために、セッション情報用メモリを検索する(ロ−2A)。
定期処理手段53eは、セッションが成立した記録を検出できると、このパケットは「セッションが成立した」ものとして判定する。
定期処理手段53eは、セッションが成立した旨を示す情報が付記されていない(セッションが成立した印がない)パケットについては、過去一定期間内にセッションが成立した記録があるかどうかを確認するために、セッション情報用メモリを検索する(ロ−2A)。
定期処理手段53eは、セッションが成立した記録を検出できると、このパケットは「セッションが成立した」ものとして判定する。
定期処理手段53eは、記録がないパケットは、「セッションが成立しない」と判定して、データが時間順になるように注意して、待ち合わせ用メモリ53c内の適切なブロックにパケットに関する情報を書き込む(ロ−2B)。
(ロ−3)
定期処理手段53eは、「セッションが成立した」と判定されたパケットについては、当該セッションをセッション情報として生成する(ロー3A)と共に、このセッション情報をセッション情報用メモリ53bの最新のメモリブロックに書き込む(ロ−3B)。
定期処理手段53eは、「セッションが成立した」と判定されたパケットについては、当該セッションをセッション情報として生成する(ロー3A)と共に、このセッション情報をセッション情報用メモリ53bの最新のメモリブロックに書き込む(ロ−3B)。
(ロ−4)
定期処理手段53eは、セッション情報用メモリ53bの最古のメモリブロック内のパケットに関する情報を取り出し(ロ−4A)、「送信元IPアドレス、送信先IPアドレス、サービス」の組がユニークになるように加工して、セッション特徴情報を生成する(ロ−4B)。
定期処理手段53eは、セッション情報用メモリ53bの最古のメモリブロック内のパケットに関する情報を取り出し(ロ−4A)、「送信元IPアドレス、送信先IPアドレス、サービス」の組がユニークになるように加工して、セッション特徴情報を生成する(ロ−4B)。
(ロ−5)
定期処理手段53eは、待ち合わせ用メモリ53cの最古のメモリブロックからブロック内のパケットに関する情報を取り出し(ロ−5A)、時刻順になるように並べ替えて「セッション不成立パケット情報」として生成する(ロ−5B)。
定期処理手段53eは、待ち合わせ用メモリ53cの最古のメモリブロックからブロック内のパケットに関する情報を取り出し(ロ−5A)、時刻順になるように並べ替えて「セッション不成立パケット情報」として生成する(ロ−5B)。
定期処理が終了すると、第1の不正通信判定手段54、トラフィックパターン判定手段55、第2の不正通信判定手段56がそれぞれ以下の動作(ハ−1)〜(ハ−3)、(ニ−1)〜(ニ−5)を行う。
(ハ−1)
定期処理後、第1の不正通信判定手段54は、定期処理手段53eが生成した「セッション情報」を取得する。
(ハ−2)
第1の不正通信判定手段54は、セッション判定分離部53が生成したセッション情報に基づいて、記憶手段51に記憶されるセッションホワイトリスト51aと比較し、セッションホワイトリスト51a中のいずれのセッションにも適合しないときは当該セッション情報に係る通信を不正な通信として検出する。
(ハ−3)
第1の不正通信判定手段54は、不正な通信を検出すると、検出結果をコンソール装置60に送信する。コンソール装置60は、第1の不正通信判定手段54から受信した検出結果に基づき、不正通信に係る情報を表示する。
定期処理後、第1の不正通信判定手段54は、定期処理手段53eが生成した「セッション情報」を取得する。
(ハ−2)
第1の不正通信判定手段54は、セッション判定分離部53が生成したセッション情報に基づいて、記憶手段51に記憶されるセッションホワイトリスト51aと比較し、セッションホワイトリスト51a中のいずれのセッションにも適合しないときは当該セッション情報に係る通信を不正な通信として検出する。
(ハ−3)
第1の不正通信判定手段54は、不正な通信を検出すると、検出結果をコンソール装置60に送信する。コンソール装置60は、第1の不正通信判定手段54から受信した検出結果に基づき、不正通信に係る情報を表示する。
(ニ−1)
定期処理後、トラフィックパターン判定手段55は、定期処理手段53eが生成した「セッション不成立パケット情報」を取得する。
(ニ−2)
トラフィックパターン判定手段55は、定期処理手段53eが生成した「セッション不成立パケット情報」に基づいて、トラフィックパターン情報を生成する。
(ニ−3)
第2の不正通信判定手段56は、トラフィックパターン判定手段55が生成したトラフィックパターン情報を取得する。
(ニ−4)
第2の不正通信判定手段56は、トラフィックパターン判定手段55により生成されたトラフィックパターン情報をトラフィックパターンホワイトリスト51bと比較し、トラフィックパターンホワイトリスト51b中のいずれのトラフィックパターンにも適合しないときは当該トラフィッパターン情報に係る通信を不正な通信として検出する。
(ニ−5)
第2の不正通信判定手段56は、不正な通信を検出すると検出結果をコンソール装置60に送信する。コンソール装置60は、第2の不正通信判定手段56から受信した検出結果に基づき、不正通信に係る情報を表示する。
定期処理後、トラフィックパターン判定手段55は、定期処理手段53eが生成した「セッション不成立パケット情報」を取得する。
(ニ−2)
トラフィックパターン判定手段55は、定期処理手段53eが生成した「セッション不成立パケット情報」に基づいて、トラフィックパターン情報を生成する。
(ニ−3)
第2の不正通信判定手段56は、トラフィックパターン判定手段55が生成したトラフィックパターン情報を取得する。
(ニ−4)
第2の不正通信判定手段56は、トラフィックパターン判定手段55により生成されたトラフィックパターン情報をトラフィックパターンホワイトリスト51bと比較し、トラフィックパターンホワイトリスト51b中のいずれのトラフィックパターンにも適合しないときは当該トラフィッパターン情報に係る通信を不正な通信として検出する。
(ニ−5)
第2の不正通信判定手段56は、不正な通信を検出すると検出結果をコンソール装置60に送信する。コンソール装置60は、第2の不正通信判定手段56から受信した検出結果に基づき、不正通信に係る情報を表示する。
この結果、本発明の不正通信検出システムは、プラントネットワークで発生しうるセッションのリストであるセッションホワイトリストを予め記憶する記憶手段と、捕捉されたパケットに基づいてセッション成立の成否を判定し、成立しているセッションを示すセッション情報を生成するセッション判定分離部と、セッション判定分離部により生成されたセッション情報をセッションホワイトリストと比較し、セッションホワイトリスト中のいずれのセッションにも適合しないときは当該セッションに係る通信を不正な通信として検出する第1の不正通信検出手段を備えたことにより、FW(ファイアウォール)のログ解析やIDS(侵入検出システム)の設置、運用に頼らずにプラントネットワーク内でセキュリティの脅威となりうる不正トラフィック(ワーム、ボット、ウイルスの通信、設定ミス、人為的な攻撃など)やその予兆を検出できる。
また、本発明の不正通信検出システムは、記憶手段が、プラントネットワークで発生しうるトラフィックパターンのリストであるトラフィックパターンホワイトリストを予め記憶し、セッション判定分離部が、捕捉されたパケットに基づいてセッション成立の成否を判定し、セッションが成立していないパケットを示すセッション不成立パケット情報を生成し、セッション不成立パケット情報に基づき、セッション不成立のパケットのトラフィックパターンを示すトラフィックパターン情報を生成するトラフィックパターン判定手段と、生成されたトラフィックパターン情報をトラフィックパターンホワイトリストと比較し、トラフィックパターンホワイトリスト中のいずれのトラフィックパターンにも適合しないときは当該トラフィックパターン情報に係る通信を不正な通信として検出する第2の不正通信検出手段を備えたことにより、UDPのようなセッション成立に際して、応答パケットの送信を不要とするようなプロトコルによる通信であっても、FWのログ解析やIDSの設置、運用に頼らずにプラントネットワーク内でセキュリティの脅威となりうる不正トラフィック(ワーム、ボット、ウイルスの通信、設定ミス、人為的な攻撃など)やその予兆を検出できる。
つまり、本発明の不正通信検出システムは、上述のような構成とすることにより、不正トラフィックをリアルタイムに検知できるだけでなく、ホワイトリストに適合しないパケット(不正通信)をリアルタイムに検知できるため、既知の攻撃だけではなくセキュリティの脅威の予兆が検知できる点で有効である。このため攻撃トラフィックが流れる前にセキュリティ脅威の予兆を検知できるのでフィールド機器の動作への影響が比較的少なくなる点で有効である。
また、本発明の不正通信検出システムは、上述のような構成とすることにより、プラントネットワークにワームやボットウィルスに感染してしまった場合に(ネットワーク経由の場合も、ネットワーク経由ではなく、USBメモリ経由の場合であっても)、ワームやボットの活動による不正なトラフィックの予兆を迅速に検知できる点で有効である。
また、本発明の不正通信検出システムは、上述のような構成とすることにより、プラントネットワークにワームやボットウィルスに感染してしまった場合に(ネットワーク経由の場合も、ネットワーク経由ではなく、USBメモリ経由の場合であっても)、ワームやボットの活動による不正なトラフィックの予兆を迅速に検知できる点で有効である。
<その他の構成例>
なお、本発明の不正通信検出システムは、上述の第1の実施例の構成に加えて、記憶手段51がブラックリストを記憶し、第3の不正通信判定手段57が第1または第2の不正通信判定手段が不正な通信を検知した後に、さらにブラックリストと比較して、不正トラフィックが発生した原因に関連する情報をコンソール装置60に表示するものでもよい。
ここで、ブラックリストとは、ボットの通信先だと知られているような、問題のある通信先のリストや、既知のワームのトラフィックパターンのリストを指す。
これにより、不正トラフィックの発生原因を除去するための対応を支援できる点、対応のプライオリティ付けをできる点で有効である。
なお、本発明の不正通信検出システムは、上述の第1の実施例の構成に加えて、記憶手段51がブラックリストを記憶し、第3の不正通信判定手段57が第1または第2の不正通信判定手段が不正な通信を検知した後に、さらにブラックリストと比較して、不正トラフィックが発生した原因に関連する情報をコンソール装置60に表示するものでもよい。
ここで、ブラックリストとは、ボットの通信先だと知られているような、問題のある通信先のリストや、既知のワームのトラフィックパターンのリストを指す。
これにより、不正トラフィックの発生原因を除去するための対応を支援できる点、対応のプライオリティ付けをできる点で有効である。
50 検出装置
51 記憶手段
52 パケットキャプチャ手段
53 セッション判定分離部
53a セッション検出用ワークメモリ
53b セッション情報用メモリ
53c 待ち合わせ用メモリ
53d データ処理手段
53e 定期処理手段
54 第1の不正通信判定手段
55 トラフィックパターン判定手段
56 第2の不正通信判定手段
100 プラントネットワーク
51 記憶手段
52 パケットキャプチャ手段
53 セッション判定分離部
53a セッション検出用ワークメモリ
53b セッション情報用メモリ
53c 待ち合わせ用メモリ
53d データ処理手段
53e 定期処理手段
54 第1の不正通信判定手段
55 トラフィックパターン判定手段
56 第2の不正通信判定手段
100 プラントネットワーク
Claims (4)
- プラントネットワークを伝播するパケットをミラーリングにより捕捉して不正な通信を検出する不正通信検出システムにおいて、
前記プラントネットワークで発生しうるセッションのリストであるセッションホワイトリスト、および前記プラントネットワークで発生しうるトラフィックパターンのリストであるトラフィックパターンホワイトリストを予め記憶する記憶手段と、
前記捕捉されたパケットに基づいてセッション成立の成否を判定し、成立しているセッションを示すセッション情報を生成するとともに、前記捕捉されたパケットに基づいてセッション成立の成否を判定し、セッションが成立していないパケットを示すセッション不成立パケット情報を生成するセッション判定分離部と、
前記セッション不成立パケット情報に基づき、セッション不成立のパケットのトラフィックパターンを示すトラフィックパターン情報を生成するトラフィックパターン判定手段と、
前記セッション判定分離部により生成された前記セッション情報を前記セッションホワイトリストと比較し、前記セッションホワイトリスト中のいずれのセッションにも適合しないときは当該セッションに係る通信を不正な通信として検出する第1の不正通信検出手段と、
生成された前記トラフィックパターン情報を前記トラフィックパターンホワイトリストと比較し、前記トラフィックパターンホワイトリスト中のいずれのトラフィックパターンにも適合しないときは当該トラフィックパターン情報に係る通信を不正な通信として検出する第2の不正通信検出手段と、
を備えたことを特徴とする不正通信検出システム。 - 前記セッション判定分離部が、
前記捕捉されたパケットに基づき、過去に成立したセッションの実績情報を示すセッション特徴情報を生成し、
このセッション特徴情報に基づき前記セッションホワイトリストを生成するホワイトリスト生成手段を備えたことを特徴とする請求項1に記載の不正通信検出システム。 - 前記セッション判定分離部は、
前記捕捉されたパケットを時系列に複数のメモリブロックに記憶するセッション検出用ワークメモリと、
前記セッションが成立しているパケットを時系列に複数のメモリブロックに記憶するセッション情報用メモリと、
前記捕捉されたパケットに対応するセッションの成立相手となるパケットが前記セッション検出用ワークメモリの最古のメモリブロック内に記憶されるパケットの中から検出されると、当該捕捉されたパケットにセッション成立した旨を示す成立情報を付記して最新のセッション検出用ワークメモリのメモリブロックに記憶するデータ処理手段と、
対応するセッションの成立相手となるパケットが前記セッション検出用ワークメモリに記憶されていない前記捕捉されたパケットについて、前記セッション情報用メモリに同パケットにセッションが成立した旨を示す成立情報が付記されて記録されているときは、セッションが成立した実績があるものと判定して当該セッションに基づきセッション情報を生成すると共に、このパケットを前記セッション情報用メモリの最新のメモリブロックに記憶する定期処理手段を備えたことを特徴とする請求項1または2に記載の不正通信検出システム。 - 前記セッション判定分離部は、前記セッションが不成立であるパケットを記憶する待ち合わせ用メモリを備え、
前記定期処理手段が、対応するセッションの成立相手となるパケットが前記セッション検出用ワークメモリに記憶されていない前記捕捉されたパケットであって、前記セッション情報用メモリにおいても同パケットにセッションが成立した旨を示す成立情報が付記されていないパケットは、セッションが成立していないパケットと判定し、このパケットを前記待ち合わせ用メモリに記憶すると共に当該パケットに基づき前記セッション不成立パケット情報を生成することを特徴とする請求項3に記載の不正通信検出システム。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010173576A JP5088403B2 (ja) | 2010-08-02 | 2010-08-02 | 不正通信検出システム |
| US13/195,987 US8584237B2 (en) | 2010-08-02 | 2011-08-02 | Improper communication detection system |
| CN201110220699.9A CN102347872B (zh) | 2010-08-02 | 2011-08-02 | 非法通信检测系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010173576A JP5088403B2 (ja) | 2010-08-02 | 2010-08-02 | 不正通信検出システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2012034273A JP2012034273A (ja) | 2012-02-16 |
| JP5088403B2 true JP5088403B2 (ja) | 2012-12-05 |
Family
ID=45528070
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010173576A Active JP5088403B2 (ja) | 2010-08-02 | 2010-08-02 | 不正通信検出システム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US8584237B2 (ja) |
| JP (1) | JP5088403B2 (ja) |
| CN (1) | CN102347872B (ja) |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8707032B2 (en) * | 2012-04-30 | 2014-04-22 | General Electric Company | System and method for securing controllers |
| US9046886B2 (en) | 2012-04-30 | 2015-06-02 | General Electric Company | System and method for logging security events for an industrial control system |
| US8964973B2 (en) | 2012-04-30 | 2015-02-24 | General Electric Company | Systems and methods for controlling file execution for industrial control systems |
| US8973124B2 (en) * | 2012-04-30 | 2015-03-03 | General Electric Company | Systems and methods for secure operation of an industrial controller |
| US9349011B2 (en) * | 2012-05-16 | 2016-05-24 | Fisher-Rosemount Systems, Inc. | Methods and apparatus to identify a degradation of integrity of a process control system |
| CN102857369B (zh) * | 2012-08-07 | 2015-02-11 | 北京鼎震科技有限责任公司 | 一种网站日志保存系统及方法和装置 |
| US9436652B2 (en) * | 2013-06-01 | 2016-09-06 | General Electric Company | Honeyport active network security |
| KR101711022B1 (ko) * | 2014-01-07 | 2017-02-28 | 한국전자통신연구원 | 제어 네트워크 침해사고 탐지 장치 및 탐지 방법 |
| KR101761737B1 (ko) * | 2014-05-20 | 2017-07-26 | 한국전자통신연구원 | 제어 시스템의 이상행위 탐지 시스템 및 방법 |
| EP2966828B1 (de) * | 2014-07-11 | 2020-01-15 | Deutsche Telekom AG | Verfahren zum Erkennen eines Angriffs auf eine mit einem Kommunikationsnetzwerk verbundene Arbeitsumgebung |
| WO2016113911A1 (ja) | 2015-01-16 | 2016-07-21 | 三菱電機株式会社 | データ判定装置、データ判定方法及びプログラム |
| CN105991587B (zh) * | 2015-02-13 | 2019-10-15 | 中国移动通信集团山西有限公司 | 一种入侵检测方法及系统 |
| US10291506B2 (en) | 2015-03-04 | 2019-05-14 | Fisher-Rosemount Systems, Inc. | Anomaly detection in industrial communications networks |
| JP6310874B2 (ja) * | 2015-03-12 | 2018-04-11 | 株式会社日立製作所 | インシデント検知システム |
| WO2017187520A1 (ja) * | 2016-04-26 | 2017-11-02 | 三菱電機株式会社 | 侵入検知装置、侵入検知方法及び侵入検知プログラム |
| JP6650343B2 (ja) | 2016-05-16 | 2020-02-19 | 株式会社日立製作所 | 不正通信検知システム及び不正通信検知方法 |
| CN106100955B (zh) * | 2016-06-23 | 2020-01-17 | 北京东土科技股份有限公司 | 工业互联网现场层宽带总线数据深度检测实现方法 |
| EP3545658B1 (en) * | 2017-01-23 | 2021-03-31 | Mitsubishi Electric Corporation | Evaluation and generation of a whitelist |
| JP6787161B2 (ja) * | 2017-02-06 | 2020-11-18 | オムロン株式会社 | ネットワークシステム管理装置、ネットワークシステム管理方法、制御プログラム、および記録媒体 |
| WO2019003300A1 (ja) * | 2017-06-27 | 2019-01-03 | 三菱電機ビルテクノサービス株式会社 | 侵入検知装置および侵入検知方法 |
| JP6591504B2 (ja) * | 2017-08-31 | 2019-10-16 | セコム株式会社 | パケットフィルタリング装置 |
| WO2019240019A1 (ja) | 2018-06-11 | 2019-12-19 | パナソニックIpマネジメント株式会社 | 異常解析装置、製造システム、異常解析方法及びプログラム |
| WO2019240020A1 (ja) * | 2018-06-13 | 2019-12-19 | パナソニックIpマネジメント株式会社 | 不正通信検知装置、不正通信検知方法及び製造システム |
| CN109587120A (zh) * | 2018-11-15 | 2019-04-05 | 北京天融信网络安全技术有限公司 | 通过目标感知进行威胁报警的方法、装置及设备 |
| JP6765554B2 (ja) * | 2018-12-12 | 2020-10-07 | 三菱電機株式会社 | ソフトウェア試験装置、ソフトウェア試験方法、および、ソフトウェア試験プログラム |
| CN113656535B (zh) * | 2021-08-31 | 2023-11-14 | 上海观安信息技术股份有限公司 | 一种异常会话检测方法、装置及计算机存储介质 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6922724B1 (en) * | 2000-05-08 | 2005-07-26 | Citrix Systems, Inc. | Method and apparatus for managing server load |
| US7076556B1 (en) * | 2000-07-31 | 2006-07-11 | Cisco Technology, Inc. | Method and apparatus for storage and retrieval of connection data in a communications system |
| JP3723076B2 (ja) * | 2000-12-15 | 2005-12-07 | 富士通株式会社 | 不正侵入防御機能を有するip通信ネットワークシステム |
| JP3797937B2 (ja) * | 2002-02-04 | 2006-07-19 | 株式会社日立製作所 | ネットワーク接続システム、ネットワーク接続方法、および、それらに用いられるネットワーク接続装置 |
| US7949737B2 (en) * | 2002-11-04 | 2011-05-24 | Riverbed Technology, Inc. | Method and apparatus for grouping nodes based on connection characteristics |
| US7971237B2 (en) * | 2003-05-15 | 2011-06-28 | Verizon Business Global Llc | Method and system for providing fraud detection for remote access services |
| JP2005128784A (ja) | 2003-10-23 | 2005-05-19 | Toshiba Corp | 監視制御ネットワークシステム |
| US7752662B2 (en) * | 2004-02-20 | 2010-07-06 | Imperva, Inc. | Method and apparatus for high-speed detection and blocking of zero day worm attacks |
| JP2008042642A (ja) * | 2006-08-08 | 2008-02-21 | Nippon Telegr & Teleph Corp <Ntt> | ポリシー管理システム、ポリシー管理装置、ポリシー管理方法およびポリシー管理プログラム |
| US8533821B2 (en) * | 2007-05-25 | 2013-09-10 | International Business Machines Corporation | Detecting and defending against man-in-the-middle attacks |
| WO2008151321A2 (en) * | 2007-06-08 | 2008-12-11 | The Trustees Of Columbia University In The City Of New York | Systems, methods, and media for enforcing a security policy in a network including a plurality of components |
| EP2134057B1 (en) * | 2008-06-12 | 2013-05-01 | Alcatel Lucent | Method for protecting a packet-based network from attacks, as well as security border node |
| CN101431448B (zh) * | 2008-10-22 | 2011-12-28 | 华为技术有限公司 | 定位ip承载网故障的方法、设备和系统 |
-
2010
- 2010-08-02 JP JP2010173576A patent/JP5088403B2/ja active Active
-
2011
- 2011-08-02 US US13/195,987 patent/US8584237B2/en active Active
- 2011-08-02 CN CN201110220699.9A patent/CN102347872B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2012034273A (ja) | 2012-02-16 |
| CN102347872A (zh) | 2012-02-08 |
| US8584237B2 (en) | 2013-11-12 |
| US20120030761A1 (en) | 2012-02-02 |
| CN102347872B (zh) | 2016-03-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5088403B2 (ja) | 不正通信検出システム | |
| Bailey et al. | Data reduction for the scalable automated analysis of distributed darknet traffic | |
| JP5781616B2 (ja) | 脆弱性対策装置、および脆弱性対策方法 | |
| US20140344912A1 (en) | Firewall based botnet detection | |
| KR20140088340A (ko) | 오픈플로우 스위치에서의 디도스 공격 처리 장치 및 방법 | |
| JP2007013590A (ja) | ネットワーク監視システム、ネットワーク監視装置及びプログラム | |
| KR100947211B1 (ko) | 능동형 보안 감사 시스템 | |
| JP2008085819A (ja) | ネットワーク異常検出システム、ネットワーク異常検出方法及びネットワーク異常検出プログラム | |
| CN100377534C (zh) | 一种网络蠕虫检测系统及方法 | |
| Neu et al. | Lightweight IPS for port scan in OpenFlow SDN networks | |
| Singh et al. | Prevention mechanism for infrastructure based denial-of-service attack over software defined network | |
| JP4616020B2 (ja) | ネットワーク監視プログラム及びネットワークシステム | |
| CN103634166B (zh) | 一种设备存活检测方法及装置 | |
| RU2679219C1 (ru) | СПОСОБ ЗАЩИТЫ СЕРВЕРА УСЛУГ ОТ DDoS АТАК | |
| CN110149300A (zh) | 网络流分析方法及其相关系统 | |
| WO2020132949A1 (zh) | 用于工业控制系统的监测方法、装置、系统和计算机可读介质 | |
| Hariri et al. | Quality-of-protection (QoP)-an online monitoring and self-protection mechanism | |
| JP2008244632A (ja) | 監視対象設定システム、監視対象設定方法、監視対象設定プログラム、ネットワーク監視システム、管理装置及び収集装置 | |
| Xia et al. | Effective worm detection for various scan techniques | |
| JP2014063349A (ja) | マルウェア検出装置および方法 | |
| JP2014036408A (ja) | 通信装置、通信システム、通信方法、および、通信プログラム | |
| CN106603335B (zh) | 私有软件流量监控方法和设备 | |
| JP6690377B2 (ja) | コントローラおよび制御システム | |
| JP6476853B2 (ja) | ネットワーク監視システム及び方法 | |
| CN114172881A (zh) | 基于预测的网络安全验证方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120611 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120619 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120725 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120814 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120827 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150921 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5088403 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |