JP5792654B2 - セキュリティ監視システムおよびセキュリティ監視方法 - Google Patents

セキュリティ監視システムおよびセキュリティ監視方法 Download PDF

Info

Publication number
JP5792654B2
JP5792654B2 JP2012030281A JP2012030281A JP5792654B2 JP 5792654 B2 JP5792654 B2 JP 5792654B2 JP 2012030281 A JP2012030281 A JP 2012030281A JP 2012030281 A JP2012030281 A JP 2012030281A JP 5792654 B2 JP5792654 B2 JP 5792654B2
Authority
JP
Japan
Prior art keywords
information
communication
event
unit
control device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012030281A
Other languages
English (en)
Other versions
JP2013168763A (ja
Inventor
遠藤 浩通
浩通 遠藤
山田 勉
山田  勉
淳也 藤田
淳也 藤田
訓 大久保
訓 大久保
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2012030281A priority Critical patent/JP5792654B2/ja
Priority to CN201310049324XA priority patent/CN103259778A/zh
Priority to DE201310002593 priority patent/DE102013002593A1/de
Priority to US13/767,336 priority patent/US8850582B2/en
Publication of JP2013168763A publication Critical patent/JP2013168763A/ja
Application granted granted Critical
Publication of JP5792654B2 publication Critical patent/JP5792654B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Description

本発明は、特に、プラント設備等の制御に用いられる制御システムに適用される、セキュリティ監視システムおよびセキュリティ監視方法に関する。
特に、プラント設備等の制御に用いられる制御システムでは、制御動作の実行に関する時間的制約や、制御システムを構成する制御装置の処理能力上の制約などから、アンチウイルスソフトなど一般的に用いられているセキュリティ対策を行うことが困難な場合がある。
一方、ネットワーク上において収集した通信パケットから、異常な通信動作を検知する方法として、特許文献1には、トラヒックデータの統計的な解析に基づきネットワークの異常を検知する方法が開示されている。また、特許文献2には、トラヒックルールに定義されている内容とは異なるトラフィックフローを検出することにより、ネットワークの異常を検知する方法が開示されている。
特開2009−049490号公報 特開2008−085819号公報
しかしながら、特許文献1に記載の統計的な解析による異常検知方法のみを制御システムのセキュリティ監視に適用した場合、異常として検知された通信が真に不正アクセスや不正プログラムの活動に起因するものか判別できない場合がある。例えば、保守点検作業等のために行われる一時的あるいは局所的な通信も異常として誤検知されてしまう可能性がある。仮に、誤検知に基づいて当該通信の遮断や制御システムの緊急停止等の対応をとった場合、制御システムの正常な稼動を妨げてしまう。
他方、ルール定義に基づく異常検知方法のみをセキュリティ監視に適用した場合、適用対象となる制御システムの規模が大きくなるに従い、定義すべきルールセットの量も増大することになるため、セキュリティ確立の負担が大きくなる。また、ソフトウェアの脆弱性を利用するタイプの不正アクセスや成りすましによる不正アクセスには、正規のプロトコルに則って行われるものもあり、ルールとの照合では検知できないものも存在する。
このような背景に鑑みて本発明がなされたのであり、本発明は、不正アクセスや不正プログラム等を検知した場合の迅速な対応を可能にしつつ、誤検知により制御システムの正常稼動を妨げることがない、セキュリティ監視システムおよびセキュリティ監視方法を提供することを課題とする。
前記した課題を解決するため、本発明に係るセキュリティ監視システムは、制御システムを構成するセグメント内の通信パケットを取得し、取得した通信パケットのうち、当該通信パケットに含まれる特徴値が通常とは異なる通信パケットを抽出して通信イベント情報を生成する。そして、セキュリティ監視システムは、その通信イベント情報を、不正アクセス等の特徴を示すイベントパターンと照合することにより、通信イベント情報として抽出された通信パケットの制御システムへの影響度を予測する。
本発明によれば、不正アクセスや不正プログラム等を検知した場合の迅速な対応を可能にしつつ、誤検知により制御システムの正常稼動を妨げることがない、セキュリティ監視システムおよびセキュリティ監視方法を提供することができる。
本発明の第1の実施形態に係るセキュリティ監視システムの全体構成を示す図である。 本発明の第1の実施形態に係るイベント抽出装置の構成例を示す機能ブロック図である。 本発明の第1の実施形態に係る通信イベント情報のデータ構成例を示す図である。 本発明の第1の実施形態に係る監視装置の構成例を示す機能ブロック図である。 本発明の第1の実施形態に係るイベントパターンの例を示す図である。 本発明の第1の実施形態に係る対応指令装置の構成例を示す機能ブロック図である。 本発明の第1の実施形態に係るイベント抽出装置が行う学習値情報生成処理の流れを示すフローチャートである。 本発明の第1の実施形態に係るイベント抽出装置が行う通信イベント情報生成処理の流れを示すフローチャートである。 本発明の第1の実施形態に係る監視装置が行う影響度レベル決定処理の流れを示すフローチャートである。 本発明の第2の実施形態に係るセキュリティ監視システムの全体構成を示す図である。 本発明の第2の実施形態に係るイベント抽出装置の構成例を示す機能ブロック図である。 本発明の第2の実施形態に係る通信頻度情報のデータ構成例を示す図である。 本発明の第2の実施形態に係る監視装置の構成例を示す機能ブロック図である。 本発明の第2の実施形態に係る通信頻度情報(全体)のデータ構成例を示す図である。 本発明の第2の実施形態に係る装置相関マップのデータ構成例を説明するための図である。 本発明の第2の実施形態に係る予測影響範囲情報生成部が行う予測影響範囲情報の生成処理を説明するための図である。 本発明の第2の実施形態に係る対応指令装置の構成例を示す機能ブロック図である。
次に、本発明を実施するための形態(以下、「実施形態」とよぶ)について、適宜図面を参照しながら詳細に説明する。
≪第1の実施形態≫
まず、本発明の第1の実施形態に係るセキュリティ監視システム100について説明する。
本発明のセキュリティ監視システム100は、監視対象となる制御システム1と接続され、制御システム1内で送受信される通信パケットを取得し、不正アクセスや不正プログラム等を検知した場合に、その不正アクセスや不正プログラムによる影響度に応じた対応指令を、制御システム1に送信する処理を行う。
<システムの全体構成>
図1は、本発明の第1の実施形態に係るセキュリティ監視システム100の全体構成を示す図である。
図1に示すように、セキュリティ監視システム100は、制御システム1を構成する各セグメント3それぞれと、相互に接続される。なお、ここでセグメント3とは、1台以上の制御装置2で構成される制御ネットワークを意味する。そして、このセグメント3は、1つ以上で構成され、必要に応じて各セグメント3同士が接続される。また、制御装置2は、例えば、コントローラやPLC(Programmable Logic Controller)など実際の制御動作を行う装置に加え、サーバや、操作端末、開発装置など制御システム1を構成する他の装置を含むものである。
セキュリティ監視システム100は、図1に示すように、制御システム1のセグメント3(#1〜#n)それぞれに対応して設けられた各イベント抽出装置10(#1〜#n)と、監視装置20と、対応指令装置30とを含んで構成される。
イベント抽出装置(イベント抽出手段)10は、自身と接続された制御システム1のセグメント3から、通信パケットを受信し、通常送受信される通信パケットと異なる通信パケットを抽出し、通信イベント情報150として監視装置20に送信する。監視装置(監視手段)20は、受信した通信イベント情報150に基づき、その通信パケットによる不正アクセス等による制御システム1への影響度を予測し、予測影響度情報250として、対応指令装置30に送信する。対応指令装置(対応指令手段)30は、予測影響度情報250を受信すると、その影響度レベルに応じて制御システム1が行うべき対応(制御システム1の全停止や、セグメント3内の制御装置2の停止等)を対応指令情報350として、制御システム1に送信する。なお、各装置が行う処理や送受信する各情報の詳細については、後記する。
次に、セキュリティ監視システム100における各装置の具体的な構成について説明する。
(イベント抽出装置)
図2は、本発明の第1の実施形態に係るイベント抽出装置(イベント抽出手段)10の構成例を示す機能ブロック図である。イベント抽出装置10は、通信回線を介して、制御システム1内の1つのセグメント3に接続される。また、イベント抽出装置10は、セキュリティ監視システム100内の監視装置20に接続される。
このイベント抽出装置10は、図2に示すように、制御部11と、入出力部12と、メモリ部13と、記憶部14とを含んで構成され、セグメント3から通信パケットを受信し、通常送受信される通信パケットと異なる通信パケットを抽出し、通信イベント情報150として監視装置20に送信する。
制御部11は、イベント抽出装置10が行う処理の全般を司り、パケット受信部111と、学習値情報生成部112と、通信イベント抽出部113と、通信イベント情報生成部114と、出力処理部115とを含んで構成される。
パケット受信部111は、入出力部12を介して、セグメント3から通信パケットを受信する。
学習値情報生成部112は、パケット受信部111から通信パケットを取得し、取得した通信パケットに含まれる共通の情報である特徴値、例えば、宛先アドレス、発信元アドレス、データ長、プロトコル種別等を抽出し、通常時のサンプルデータを生成する。そして、学習値情報生成部112は、生成した通常時のサンプルデータを所定の学習アルゴリズムで処理し、その結果を学習値情報110として記憶部14に記憶する。所定の学習アルゴリズムとしては、例えば、サポート・ベクタ・マシンやベクトル量子化クラスタリング等を利用する。
この学習値情報110の生成処理は、セキュリティ監視システム100による、制御システム1の不正アクセスや不正プログラム等の監視を実行する前に、予め実行しておく。例えば、制御システム1の本格運用前の試験運用等において、正常運転時の通信傾向が取得できる段階で行われる。学習値情報生成部112は、この学習値情報110の生成処理により、制御システム1の正常な動作中における通信パケットの特徴値を学習しておく。なお、この学習値情報110の生成処理(学習値情報生成処理)の詳細は、後記する図7において説明する。
通信イベント抽出部113は、パケット受信部111から通信パケットを取得し、取得した通信パケットそれぞれに共通して付される情報である特徴値を抽出して、学習値情報110に基づき設定された特徴値判定情報120と比較することにより通常とは異なるか否かを判定する。そして、通信イベント抽出部113は、通常とは異なると判定された特徴値を含む通信パケットを抽出する。特徴値としては、例えば、宛先アドレス、発信元アドレス、データ長、プロトコル種別等を用いる。
この特徴値判定情報120には、学習値情報生成部112が生成した学習値情報110に基づき、セキュリティ監視システム100の管理者等により、通常とは異なる通信パケットであると判定するための特徴値毎の設定条件が、予め(不正アクセス等の監視の実行前に)設定される。そして、学習値情報生成部112が、その特徴値判定情報120を、記憶部14に記憶しておく。
そして、通信イベント抽出部113は、学習値情報110に基づき設定された特徴値判定情報120に含まれる特徴値毎の設定条件に基づき、通信パケットから抽出した各特徴値が通常とは異なるか否かの判定を行う。
例えば、通信イベント抽出部113は、特徴値が、宛先アドレスである場合、通常、同一セグメント3内で用いるアドレスは、予め範囲が設定されているため、特徴値判定情報120の設定条件として、宛先アドレスが「192.168.xx.yy」内に該当する場合(例えば、「192.168.10.1」)は、通常の宛先アドレスと判定する。一方、取得した通信パケットにおいて、このアドレス範囲以外に設定された宛先アドレスである場合に、通信イベント抽出部113は、設定条件に基づき、特徴値(宛先アドレス)が通常とは異なると判定する。
なお、通信イベント抽出部113は、特徴値が発信元アドレスである場合についても、同様に、設定条件に基づき、アドレス範囲内に含まれるか否かで、特徴値(発信元アドレス)が通常とは異なるか否かを判定する。
また、通信イベント抽出部113は、特徴値がデータ長である場合、学習値情報110に基づき、予め通常の通信パケットのデータ長を把握しておき、特徴値判定情報120の設定条件として、所定の閾値を超える長さのデータ長の通信パケットや、所定の閾値より短いデータ長の通信パケットについて、通常とは異なる特徴値(データ長)であると判定する。
通信イベント抽出部113は、特徴値がプロトコル種別である場合、学習値情報110に基づき、通常使用する通信パケットのプロトコル種別(例えば、UDP(User Datagram Protocol)、TCP(Transmission Control Protocol))を特徴値判定情報120の設定条件とし、この設定条件で登録された通常使用する通信パケットのプロトコルとは異なるプロトコル(たとえば、FTP(File Transfer Protocol)、TELNET)等の場合に、通常とは異なる特徴値(プロトコル種別)であると判定する。
通信イベント情報生成部114は、通信イベント抽出部113が抽出した通常とは異なる特徴値を含む通信パケットについての通信イベント情報150を生成する。そして、通信イベント情報生成部114は、出力処理部115を介して、監視装置20に、生成した通信イベント情報150を送信する。
図3は、本発明の第1の実施形態に係る通信イベント情報150のデータ構成例を示す図である。
図3に示すように、通信イベント情報150は、ヘッダ151と、管理情報152と、特徴値153〜156とを含んで構成される。
ヘッダ151には、この情報が、通信イベント情報150であることを示す情報が記述される。
管理情報152には、イベントID(Identification)、生成元ID、生成時刻が、通信イベント情報生成部114により付される。ここで、イベントIDは、その通信イベントに固有なIDである。生成元IDは、その通信イベント情報150を生成したイベント抽出装置10に固有なIDである。生成時刻は、通信イベント情報生成部114により、その通信イベント情報150が生成された時刻を示す。
特徴値153〜156には、通信イベント抽出部113が通信パケットから抽出した各特徴値の情報として、例えば、特徴値「1」(宛先アドレス)153、特徴値「2」(発信元アドレス)154、特徴値「3」(データ長)155、特徴値「4」(プロトコル種別)156が記述される。
このように、通信イベント情報150には、通信イベント抽出部113が、抽出して判定を行った各特徴値の情報が付される。なお、通信イベント情報生成部114は、通常とは異なる特徴値を含む通信パケットについての通信イベント情報150を生成するので、各特徴値の中には、少なくとも1つ、通常とは異なると判定された特徴値が含まれるものとなる。
図2に戻り、出力処理部115は、通信イベント情報生成部114が生成した通信イベント情報150(図3参照)を、入出力部12を介して、監視装置20へ出力する処理を行う。
入出力部12は、他の装置との間で情報の送受信を行うための通信インタフェースと、キーボード等の入力装置や、モニタ等の出力装置との間で情報の送受信を行うための入出力インタフェースとから構成される。
メモリ部13は、RAM(Random Access Memory)等の一次記憶装置からなり、制御部11の処理に必要な情報を一時的に記憶する。
記憶部14は、HDD(Hard Dick Drive)、フラッシュメモリ等の記憶媒体で構成される。そして、この記憶部14には、前記した学習値情報110や特徴値判定情報120が記憶される。この特徴値判定情報120には、前記したように、通信イベント抽出部113が特徴値毎に通常とは異なるか否かを判定するための設定条件が、学習値情報110に基づき管理者等により設定される。
なお、制御部11は、このイベント抽出装置10が備える不図示のCPU(Central Processing Unit)によるプログラム実行処理や、専用回路等により実現される。そして、この制御部11の機能を、プログラム実行処理により実現する場合、記憶部14には、CPUにより読み出され実行されるプログラムが格納される。
(監視装置)
図4は、本発明の第1の実施形態に係る監視装置(監視手段)20の構成例を示す機能ブロック図である。監視装置20は、通信回線を介して、各イベント抽出装置10(#1〜#n)、および、対応指令装置30に接続される。
この監視装置20は、図4に示すように、制御部21と、入出力部22と、メモリ部23と、記憶部24と、イベントバッファ25とを含んで構成され、イベント抽出装置10から受信した通信イベント情報150に基づき、その通信パケットの不正アクセス等による制御システム1への影響度を予測し、予測影響度情報250として、対応指令装置30に送信する。
制御部21は、監視装置20が行う処理の全般を司り、通信イベント情報受信部211と、影響度予測処理部212と、出力処理部213とを含んで構成される。
通信イベント情報受信部211は、入出力部22を介して、通信イベント情報150を取得し、イベントバッファ25に保存する。
ここで、イベントバッファ25は、通信イベント情報150を保存する記憶手段である。そしてこのイベントバッファ25に入力された通信イベント情報150は、後記する影響度予測処理における利用を簡単にするため、例えば、その出力されたイベント抽出装置10(#1〜#n)毎に入力時刻順に格納され、入力履歴として保存される。
なお、通信イベント情報受信部211は、通信イベント情報150がイベントバッファ25に保存されてから、所定の時間以内に、新たな通信イベント情報150が入力されない場合、保存した通信イベント情報150をイベントバッファから削除するようにしてもよい。
影響度予測処理部212は、以下に説明する影響度予測処理を行い、その結果として生成した予測影響度情報250を、出力処理部213を介して、対応指令装置30に送信する。
具体的に説明すると、影響度予測処理部212は、通信イベント情報受信部211が、通信イベント情報150をイベントバッファ25に保存するのを監視している。そして、影響度予測処理部212は、通信イベント情報150のイベントバッファ25への入力を検知すると、その入力された通信イベント情報150を含む入力履歴を取得する。なお、影響度予測処理部212は、入力された通信イベント情報150に管理情報152として付された生成元IDを参照し、生成元IDが同じイベント抽出装置10、つまり、同じセグメント3からの通信パケットにより生成された通信イベント情報150の入力履歴を取得する。
次に、影響度予測処理部212は、取得した入力履歴と、記憶部24内のイベントパターンDB(DataBase)241に格納された各イベントパターン200とを照合し、その類似度が所定の閾値を超えている場合に、類似するイベントパターン200が検出されたと評価する。ここで、イベントパターン200とは、一連の不正な通信パケットを送信して正常な処理を妨げる不正アクセス毎に、その一連の不正な通信パケットを構成するそれぞれの通信パケットを特徴付ける条件を、一連の通信パケットに対応させて組み合わせた情報を意味する。具体的には、以下の図5において説明する。
図5は、本発明の第1の実施形態に係るイベントパターン200の例を示す図である。図5(a)は、複数の通信パケットによる処理手順を踏んで攻撃してくる形式の不正アクセスを示すイベントパターン200(200(A))の例である。図5(b)は、大量の無意味なデータを送りつけてサーバに負荷をかける、いわゆるDoS(Denial of Service)攻撃の形式の不正アクセスを示すイベントパターン200(200(B))の例である。
図5(a)のイベントパターン200(A)は、まず、1つ目の通信パケットとして、イベントパターン200(A)の1つ目に示した構成要素であるイベントパターン(A−1)の特徴を持つ通信パケットを送り、2つ目の通信パケットとして、イベントパターン(A−2)の特徴を持つ通信パケット送り、というように、一般に複数の通信パケットを送りつけることにより不正アクセス等を実現する。そこで、この不正アクセスのイベントパターン200(A)で送られる、各通信パケットの特徴値(例えば、宛先アドレス、発信元アドレス、データ長、プロトコル種別)を、その送信順に設定された条件と照合する。ここでは、特徴値の条件として、例えば、特徴値条件「1」(宛先アドレス)、特徴値条件「2」(発信元アドレス)、特徴値条件「3」(データ長)、特徴値条件「4」(プロトコル種別)が設定される。なお、イベントパターン200には、特徴値条件以外にも、以下のような条件を設定することができる。例えば、この形式のイベントパターン200(A)には、同種の通信パケットを繰り返し送信する処理を含む場合があるため、それに対応し、リピート回数条件201を設定することもできる。また、2つ目以降の通信パケットについては、1つ目の通信パケットの送信からの時間(送信間隔)に特徴を有するものもあるため、それに対応し、タイムラグ条件202を設定するようにすることもできる。
なお、特徴値条件には、例えば、宛先アドレス、発信元アドレス、データ長、プロトコル種別について、そのイベントパターン200に示される不正アクセス等の通信パケットで利用される各特徴値の範囲が所定の条件として設定される。
例えば、あるイベントパターン200(A)の1つ目の通信パケットに対応するイベントパターン(A−1)において、不正アクセスや不正プログラムによる通信パケットであると判定するための条件を、特徴値条件「1」(宛先アドレス)として、通常利用される宛先アドレスである「192.168.xx.yy」の範囲外と設定する。また、特徴値条件「2」(送信元アドレス)についても、同様に、「192.168.xx.yy」の範囲外と設定する。特徴値条件「3」(データ長)については、その不正アクセス等の通信パケットの特徴に基づき、例えば、所定の閾値を超える長さのデータ長を設定する。特徴値条件「4」(プロトコル種別)については、その不正アクセス等で用いられるプロトコル種別(複数設定可)を設定する。
そして、影響度予測処理部212は、入力履歴に示される順に、新たに入力された通信イベント情報150を、イベントパターン200の対応する構成要素(イベントパターン(A−1)〜(A−m))と照合する。例えば、影響度予測処理部212は、1つ目に入力された通信イベント情報150を、イベントパターン(A−1)と照合する。そして、2つ目に入力された通信イベント情報150を、イベントパターン(A−2)と照合するようにする。なお、ここで影響度予測処理部212が行う照合は、イベントパターン(A−1)〜(A−m)それぞれの中で設定されたすべての条件を満たした場合に、そのイベントパターン(A−1)〜(A−m)各々について照合結果が一致したものと判定する。
そして、設定されているイベントパターン(A−1)〜(A−m)の照合を終えると、影響度予測処理部212は、m個のうち、一致したものがいくつあるかを示す類似度を算出する。例えば、照合したイベントパターン(A−1)〜(A−m)において、通信イベント情報150との照合結果がすべて一致したと判定された場合に類似度を「1」とし、半分の通信イベント情報150の照合結果が一致したと判定された場合に、類似度が「0.5」となるようにしてもよい。そして、影響度予測処理部212は、算出した類似度が所定の閾値を超える場合に、そのイベントパターン200(A)による不正アクセスと評価する。
なお、所定の閾値を超えるイベントパターン200が複数検出された場合に、影響度予測処理部212は、その検出されたイベントパターン200の中で、最も類似度が高いイベントパターン200を採用するようにしてもよい。
図5(b)のイベントパターン200(B)は、DoS攻撃のような同種の通信パケットを対象に送りつける場合のイベントパターン200の条件を示しており、特徴値条件の他、リピート回数条件201が設定される。
影響度予測処理部212は、イベントパターン200(B)の各特長値条件に合致する通信イベント情報150がリピート回数条件201に設定される回数を超えると、イベントパターン200(B)によるDos攻撃と評価する。
続いて、影響度予測処理部212は、類似するイベントパターン200が検出された場合に、記憶部24に記憶された影響度レベル情報242を参照し、そのイベントパターン200の影響度レベルを決定する。ここで、影響度レベルは、制御システム1に与える影響の度合を示すものであり、この影響度レベル情報242には、不正アクセスや不正プログラム等を示すイベントパターン200に対応付けて、制御システム1に対する影響(危険度)が高い順に、例えば「4」〜「1」の4段階の影響度レベルが設定される。なお、影響度予測処理部212は、類似するイベントパターン200が検出されなかった場合でも、最も影響度が低い影響度レベルとして決定するようにしてもよい。また、影響度予測処理部212は、影響度レベル情報242を参照して得た影響度レベルに、類似度を乗じたものを、そのイベントパターンの影響度レベルとして採用するようにしてもよい。
そして、影響度予測処理部212は、その影響度レベルの情報を含めた予測影響度情報250を生成し、出力処理部213を介して、対応指令装置30に送信する。
出力処理部213は、影響度予測処理部212が生成した予測影響度情報250を、入出力部22を介して、対応指令装置30へ出力する処理を行う。
入出力部22は、他の装置との間で情報の送受信を行うための通信インタフェースと、キーボード等の入力装置や、モニタ等の出力装置との間で情報の送受信を行うための入出力インタフェースとから構成される。
メモリ部23は、RAM等の一次記憶装置からなり、制御部21の処理に必要な情報を一時的に記憶する。
記憶部24は、HDD、フラッシュメモリ等の記憶媒体で構成される。そして、この記憶部24には、前記した各イベントパターン200(図5参照)が格納されるイベントパターンDB241と、各イベントパターン200に対応する影響度レベルが設定された影響度レベル情報242とが記憶される。
イベントバッファ25は、RAM等の記憶媒体で構成され、前記した通信イベント情報150が、イベント抽出装置10毎に入力履歴として保存される。
なお、制御部21は、この監視装置20が備える不図示のCPUによるプログラム実行処理や、専用回路等により実現される。そして、制御部21の機能を、プログラム実行処理により実現する場合、記憶部24には、CPUにより読み出され実行されるプログラムが格納される。
(対応指令装置)
図6は、本発明の第1の実施形態に係る対応指令装置(対応指令手段)30の構成例を示す機能ブロック図である。対応指令装置30は、通信回線を介して、監視装置20、および、制御システム1内の各制御装置2に接続される。
この対応指令装置30は、図6に示すように、制御部31と、入出力部32と、メモリ部33と、記憶部34とを含んで構成され、監視装置20から受信した予測影響度情報250に付された影響度レベルに応じて、制御システム1の各制御装置2が行うべき対応を対応指令情報350として、制御システム1に送信する。
制御部31は、対応指令装置30が行う処理の全般を司り、予測影響度情報受信部311と、対応指令情報生成部312と、出力処理部313とを含んで構成される。
予測影響度情報受信部311は、入出力部33を介して、監視装置20から予測影響度情報250を受信する。
対応指令情報生成部312は、予測影響度情報受信部311から予測影響度情報250を取得する。そして、対応指令情報生成部312は、その予測影響度情報250に付された影響度レベルに基づき、記憶部34内の影響度レベル・対応指令変換情報300を参照し、対応指令を決定する。
ここで、影響度レベル・対応指令変換情報300には、図6に示すように、影響度レベルに対応して、その対応指令が予め管理者等により設定される。
例えば、影響度レベル「4」の場合は、非常に危険性が高い不正アクセス等として、制御システム1の全停止が指令される。影響度レベル「3」の場合は、該当セグメント3の停止(該当セグメント3内のすべての制御装置2の停止)が指令される。影響度レベル「2」の場合は、該当制御装置2の停止が指令される。そして、影響度レベル「1」の場合は、制御システム1に対し、警報情報を送信する指令がされる。
対応指令情報生成部312は、この影響度レベル・対応指令変換情報300を参照して、該当するセグメント3や制御装置2を決定し、その対応指令に基づく対応指令情報350を生成する。
出力処理部313は、対応指令情報生成部312が生成した対応指令情報350を、入出力部32を介して、制御システム1内の該当する制御装置2へ出力する処理を行う。このとき、出力処理部313は、対応指令情報350を、制御システム1のすべての制御装置2に対してブロードキャストすることもできるし、そのセグメント3内の制御装置2全部や、セグメント3内の一部の制御装置2に対して、その不正アクセスや不正プログラムが制御システム1内に及ぼす影響として、例えば、種別や機能、その他の属性を考慮し、対応指令の内容をカスタマイズした上で、出力するようにしてもよい。その場合、監視装置20が送信する予測影響度情報250にイベントパターン200に固有なIDを付して送信させ、対応指令装置30の出力処理部313が、そのイベントパターン200に示される不正アクセス等の特性に基づき、対応指令情報350の送信先や内容をカスタマイズするようにしてもよい。
また、出力処理部313は、あるセグメント3内の制御装置2に対して、通信制限(受信のみで送信不可)をするような対応指令の対応指令情報350を送信するようにしてもよい。
入出力部32は、他の装置との間で情報の送受信を行うための通信インタフェースと、キーボード等の入力装置や、モニタ等の出力装置との間で情報の送受信を行うための入出力インタフェースとから構成される。
メモリ部33は、RAM等の一次記憶装置からなり、制御部31の処理に必要な情報を一時的に記憶する。
記憶部34は、HDD、フラッシュメモリ等の記憶媒体で構成される。そして、この記憶部24には、前記した影響度レベル・対応指令変換情報300が記憶される。
なお、制御部31は、この対応指令装置30が備える不図示のCPUによるプログラム実行処理や、専用回路等により実現される。そして、制御部31の機能を、プログラム実行処理により実現する場合、記憶部34には、CPUにより読み出され実行されるプログラムが格納される。
<処理の方法>
次に、本発明の第1の実施形態に係るセキュリティ監視システム100が行う処理の流れについて、具体的に説明する。
まず、セキュリティ監視システム100の全体の処理の流れを説明し、その後に、セキュリティ監視システム100を構成するイベント抽出装置10が行う学習値情報生成処理および通信イベント情報生成処理、監視装置20が行う影響度レベル決定処理について、具体的に説明する。
(全体の処理の流れ)
全体の処理の流れを主に図1を参照して説明する。セキュリティ監視システム100の各イベント抽出装置10は、図1に示すように、制御システム1の対応するセグメント3から通信パケットを受信する。そして、イベント抽出装置10は、予め生成しておいた学習値情報110(図2参照)を用いて設定された特徴値判定情報120に基づき、受信した通信パケットの特徴値が通常とは異なる通信パケットを抽出し、通信イベント情報150(図3参照)を生成(通信イベント情報生成処理)して、監視装置20に送信する(図1,図2参照)。
次に、監視装置20は、受信した通信イベント情報150を含む入力履歴について、イベントパターンDB241(図4参照)に記憶された各イベントパターン200(図5参照)と照合する。そして、監視装置20は、類似するイベントパターンが検出されると、そのイベントパターン200の制御システム1への影響度を、影響度レベル情報(図4参照)を参照して決定し(影響度レベル決定処理)、その影響度レベルの情報を付した予測影響度情報250を生成して、対応指令装置30に送信する(図1,図4参照)。
次に、対応指令装置30は、予測影響度情報250を受信すると、影響度レベル・対応指令変換情報300(図6参照)を参照し、その影響度レベルに応じて制御システム1内において行うべき対応(制御装置2の停止等)を対応指令情報350として、制御システム1へ送信する(図1,図6参照)。
(イベント抽出装置の学習値情報生成処理)
次に、イベント抽出装置10の学習値情報生成部112(図2参照)が行う学習値情報生成処理について、図7を参照して説明する。図7は、本発明の第1の実施形態に係るイベント抽出装置10が行う学習値情報生成処理の流れを示すフローチャートである。
なお、学習値情報生成部112は、セキュリティ監視システム100が制御システム1の不正アクセス等の監視を実行する前に、この学習値情報生成処理を予め実行しておくことにより、学習値情報110を生成しておく。そして、この生成された学習値情報110に基づき、管理者等が、特徴値判定情報120を設定するものである。
図7に示すように、まず、イベント抽出装置10の学習値情報生成部112は、セグメント3上の通信パケットを受信したパケット受信部111を介して、その通信パケットを取得したか否かを判定する(ステップS10)。ここで、学習値情報生成部112は、通信パケットを取得していなければ(ステップS10→No)、取得するまで待つ。一方、学習値情報生成部112は、通信パケットを取得した場合には(ステップS10→Yes)、次のステップS11に進む。なお、この通信パケットの取得は、例えば、制御システム1の本格運用前等において行われ、通常運転時を模擬した通信を行うことにより、正常な動作が行われている状態での通信パケットを収集する。
次に、学習値情報生成部112は、取得した通信パケットに含まれる特徴値を抽出する(ステップS11)。この特徴値は、例えば、宛先アドレス、発信元アドレス、データ長、プロトコル種別等の情報である。
続いて、学習値情報生成部112は、抽出した各特徴値の情報を所定の学習アルゴリズムで処理し、学習値情報110を生成し(ステップS12)、記憶部14に記憶する。学習アルゴリズムとしては、例えば、サポート・ベクタ・マシンやベクトル量子化クラスタリング等を用いる。
そして、学習値情報生成部112は、学習終了か否かを判定する(ステップS13)。この学習終了か否かの判定は、制御システム1における所定の運転モードについてデータを得るのに充分な通信パケットを処理したか否かで判定する。例えば、学習値情報生成部112は、処理した通信パケットの数が、所定の閾値を超えた場合に、ある運転モードに関連する通信パケットのデータを充分処理したと判定してもよいし、ある運転モードの一連の処理の開始から終了までの通信パケットを処理することにより充分処理したと判定してもよいし、一連の処理を決められた回数繰り返したときに、所定の通信パケットを充分処理したと判定してもよく、その制御システム1の運転モードに関して、通常時に送受信される通信パケットの情報を充分に収集したと認められるだけの判定条件を管理者が設定しておく。
そして、学習値情報生成部112は、学習終了でないと判定した場合には(ステップS13→No)、ステップS10に戻り、処理を続ける。一方、学習値情報生成部112は、学習終了と判定した場合には(ステップS13→Yes)、学習値情報生成処理を終える。
(イベント抽出装置の通信イベント情報生成処理)
次に、イベント抽出装置10の通信イベント抽出部113および通信イベント情報生成部114(図2参照)が行う通信イベント情報生成処理について、図8を参照して説明する。図8は、本発明の第1の実施形態に係るイベント抽出装置10が行う通信イベント情報生成処理の流れを示すフローチャートである。
なお、この通信イベント情報生成処理は、制御システム1の稼動中(本格運転時における不正アクセス等の監視中)に行われる処理である。
図8に示すようにまず、イベント抽出装置10の通信イベント抽出部113は、セグメント3上の通信パケットを受信したパケット受信部111を介して、その通信パケットを取得したか否かを判定する(ステップS20)。ここで、通信イベント抽出部113は、通信パケットを取得していなければ(ステップS20→No)、取得するまで待つ。一方、通信イベント抽出部113は、通信パケットを取得した場合には(ステップS20→Yes)、次のステップS21に進む。
次に、通信イベント抽出部113は、取得した通信パケットに含まれる特徴値を抽出する(ステップS21)。この特徴値は、学習値情報生成部112が学習値情報生成処理において通信パケットから抽出した特徴値と同様の、例えば、宛先アドレス、発信元アドレス、データ長、プロトコル種別等の情報である。
続いて、通信イベント抽出部113は、抽出した特徴値それぞれについて、その特徴値が、通常とは異なるか否かを、記憶部14内の特徴値判定情報120に記憶された各特徴値についての設定条件を満たすか否かにより判定する(ステップS22)。この設定条件は、前記したように、特徴値が宛先アドレスや発信元アドレスである場合は、予め設定された通常使用するアドレス範囲内であれば、通常使用するアドレスと判定し、そのアドレス範囲内でなければ、通常とは異なるアドレスと判定する。また、特徴値が、データ長の場合は、データ長の長さが所定の閾値を超える、または、所定の閾値より短いかで、通常とは異なるかを判定する。また、特徴値が、プロトコル種別である場合は、設定された通常使用するプロトコルと異なるプロトコルが使用されていた場合に、通常とは異なるプロトコルと判定する。
そして、通信イベント抽出部113は、判定した特徴値のすべてが通常の範囲と判定された否かを判断する(ステップS23)。そして、すべての特徴値が通常の範囲と判定された場合には(ステップS23→Yes)、通信イベント情報生成処理を終了する。
一方、通信イベント抽出部113は、判定した特徴値のうち、少なくとも1つが通常とは異なると判定した場合には(ステップS23→No)、その通信パケットの各特徴値の情報を、通信イベント情報生成部114に出力し、次のステップS24へ進む。
ステップS24において、通信イベント情報生成部114は、通信イベント抽出部113から取得した通信パケットの各特徴値を含む通信イベント情報150(図3)を生成する。そして、通信イベント情報生成部114は、その生成した通信イベント情報150を、出力処理部115を介して、監視装置20に送信し、通信イベント情報生成処理を終了する。
このようにすることで、イベント抽出装置10は、セグメント3から受信した通信パケットについて、通常とは異なる特徴値を少なくとも1つ含む通信パケットについて、通信イベント情報150を生成し、監視装置20に送信することができる。
(監視装置の影響度レベル決定処理)
次に、監視装置20の影響度予測処理部212(図4参照)が行う影響度レベル決定処理について、図9を参照して説明する。図9は、本発明の第1の実施形態に係る監視装置20が行う影響度レベル決定処理の流れを示すフローチャートである。
図9に示すように、まず、監視装置20の影響度予測処理部212は、通信イベント情報受信部211(図4参照)が、通信イベント情報150をイベントバッファ25に保存する処理を監視することにより、通信イベント情報150を受信したか否かを判定する(ステップS30)。
ここで、影響度予測処理部212は、通信イベント情報受信部211が、通信イベント情報150を受信していない場合には(ステップS30→No)、通信イベント情報150が受信されるまで待つ。
一方、影響度予測処理部212は、通信イベント情報受信部211が、通信イベント情報150を受信した場合には(ステップS30→Yes)、次のステップS31へ進む。
ステップS31において、影響度予測処理部212は、ステップS30において、通信イベント情報受信部211が受信した通信イベント情報150を含む入力履歴を、イベントバッファ25から取得する。そして、影響度予測処理部212は、取得した通信イベント情報150の入力履歴と、記憶部24内のイベントパターンDB241に格納された各イベントパターン200とを照合する。
そして、影響度予測処理部212は、入力履歴と類似するイベントパターン200が存在するか否かを判定する(ステップS32)。影響度予測処理部212は、図5に示したようなイベントパターン200それぞれについて、1つの通信イベント情報150が入力する度に、セグメント3毎の入力履歴と、対応するイベントパターン200の構成要素(例えば、図5のイベントパターン(A−1)〜(A−m))のうちの1つについて、その特徴値条件や、リピート回数条件、タイムラグ条件等の条件がすべて一致するかを判定する。そして、イベントパターン200の構成要素と照合したm個の通信イベント情報150の中で、いくつ通信イベント情報150との照合が一致したかの類似度を算出し、この類似度が、所定の閾値以上の場合に、その入力履歴はそのイベントパターン200に類似すると判定する。
ここで、影響度予測処理部212は、その入力履歴に類似するイベントパターン200が存在した場合にはステップS33に進み、存在しなかった場合には、ステップS34に進む。
ステップS33において、影響度予測処理部212は、類似すると判定されたイベントパターン200の制御システム1への影響度レベル(例えば、影響度レベル「4」〜「2」のうちの1つ)を、影響度レベル情報242(図4)を参照して決定する。なお、影響度予測処理部212は、ステップS32において、類似すると判定されたイベントパターン200が複数存在する場合には、その類似度が高い方のイベントパターン200を、入力履歴に類似するイベントパターン200として選択し、その影響度レベルを決定する。そして、次のステップS35へ進む。
一方、ステップS32において、類似すると判定されたイベントパターン200が存在しなかった場合(ステップS32→No)、影響度予測処理部212は、影響度レベルとして最も低い早期警戒レベル(例えば、影響度レベル「1」)に決定する(ステップS34)。そして、次のステップS35に進む。
次に、影響度予測処理部212は、現時点から過去の所定の時間内に、他のイベント抽出装置10から別の通信イベント情報150を受信していないかを判定する(ステップS35)。
そして、影響度予測処理部212は、他のイベント抽出装置10からの通信イベント情報150を受信していた場合には(ステップS35→Yes)、他のセグメント3でも通常運転時の通信傾向とは異なる通信パケットが検知されたことを意味するため、不正アクセス等による被害が拡大中であると判定し、ステップS33およびS34で決定した影響度レベルを1つ上方修正する(ステップS36)。そして、次のステップS37に進む。
一方、ステップS35において、所定の時間内に、他のイベント抽出装置10からの通信イベント情報150を受信していない場合(ステップS35→No)は、次のステップS37に進む。
ステップS37において、影響度予測処理部212は、決定した影響度レベルを含む予測影響度情報250を生成し、出力処理部213を介して、対応指令装置30に送信する。
このようにすることで、監視装置20は、各イベント抽出装置10から受信した通信イベント情報150を含む入力履歴が、不正アクセス等のイベントパターン200に類似するか否かを判定し、その影響度レベルを決定することができる。
≪第2の実施形態≫
次に、本発明の第2の実施形態に係るセキュリティ監視システム100bについて説明する。
第2の実施形態に係るセキュリティ監視システム100bは、セグメント3において送受信される通信パケットを収集し、制御装置2間の通信履歴に基づき生成した装置相関マップ210(後記する図15)を参照することにより、イベント抽出装置10が生成した通信イベント情報150の波及経路を予測する。ここで、波及経路とは、通信イベント情報150として抽出された通信パケットが、不正アクセス等であった場合に、その通信パケットを受信した制御装置2が次の処理として生成する通信パケットにおいて、影響を受ける可能性が高いと予測される通信パケットの経路を意味し、具体的には、一連の制御に関連する処理として送受信される通信パケットの経路上の制御装置2群で示される。第2の実施形態に係るセキュリティ監視システム100bにおいては、正常時の制御装置2間の通信パケットの送受信の通信履歴に基づき装置相関マップ210(図15)を作成しておき、装置間の相関が所定の値よりも強い場合に、不正アクセス等の影響を受ける可能性が高いと判定する。
そして、第2の実施形態に係るセキュリティ監視システム100bは、波及経路上に存在する制御装置2に対して、優先的に対応指令情報350を送信することを特徴とする。
<システムの全体構成>
図10は、本発明の第2の実施形態に係るセキュリティ監視システム100bの全体構成を示す図である。セキュリティ監視システム100bは、制御システム1のセグメント3に対応して設けられた複数のイベント抽出装置10b(#1〜#n)と、監視装置20bと、対応指令装置30bとを備える。
図1に示した、本発明の第1の実施形態に係るセキュリティ監視システム100との違いは、イベント抽出装置10bが、通信イベント情報150に加え、セグメント3内の制御装置2間の通信パケットの送受信の回数(頻度)を示す通信頻度情報160(後記する図12)を生成し、監視装置20bに送信することである。また、監視装置20bは、各イベント抽出装置10bから受信した通信頻度情報160に基づき、装置相関マップ210(図15)を生成し、不正アクセス等のイベントパターン200に類似すると判定された通信パケットの波及経路を決定し、その波及経路上の制御装置2を示す情報を、予測影響範囲情報260として対応指令装置30bに送信する。対応指令装置30は、予測影響範囲情報260に示される波及経路上の制御装置2に対して、優先的に対応指令情報350を送信する。
次に、セキュリティ監視システム100bにおける各装置の具体的な構成について説明する。
(イベント抽出装置)
図11は、本発明の第2の実施形態に係るイベント抽出装置10bの構成例を示す機能ブロック図である。本発明の第1の実施形態に係るイベント抽出装置10(図2)との違いは、イベント抽出装置10の各構成に加え、通信頻度情報生成部116を備えていることである。通信頻度情報生成部116は、セグメント3から受信した各通信パケットを集計して、通信頻度情報160(図12)を生成し、監視装置20bに送信する。その他の構成は、図2に示したイベント抽出装置10と同様であるので、説明を省略する。
通信頻度情報生成部116は、学習値情報生成部112が、学習値情報110を生成する際に取得する各通信パケットと同様の通信パケットを、パケット受信部111を介して取得し、通信頻度情報160を生成する。
図12は、本発明の第2の実施形態に係る通信頻度情報160のデータ構成例を示す図である。
図12に示すように、通信頻度情報160は、セグメント3から受信した各通信パケットの情報に基づき、送信元アドレスと宛先アドレスとのすべての組み合わせに対して、各々該当する通信パケットの数がカウントされるマトリクスで構成される。
図12(a)に示す例は、例えば、セグメント3(#1)(図10参照)が接続されているイベント抽出装置10b(#1)の通信頻度情報生成部116が生成した通信頻度情報160を示している。図12(a)においては、例えば、送信元アドレス「192.168.10.1」の制御装置2から、宛先アドレス「192.168.10.2」の制御装置2へ送信された通信パケットが1200個、同じく送信元アドレス「192.168.10.1」の制御装置2から、宛先アドレス「192.168.10.3」の制御装置2へ送信された通信パケットが250個検出されたことを示している。
また、図12(b)に示す例は、例えば、セグメント3(#2)(図10参照)が接続されているイベント抽出装置10b(#2)の通信頻度情報生成部116が生成した通信頻度情報160を示す。
なお、同一アドレス間の通信は、集計対象外であり、図12においては、「―」と示している。
イベント抽出装置10bの通信頻度情報生成部116は、セグメント3から受信した通信パケットの情報に基づき、図12に示すような通信頻度情報160を生成し、監視装置20bに送信する。
なお、イベント抽出装置10bによる、通信頻度情報160の監視装置20bへの送信は、セキュリティ監視システム100bが制御システム1の不正アクセス等の監視を実行する前(制御システム1の本格運用前)に行っておく。
(監視装置)
図13は、本発明の第2の実施形態に係る監視装置20bの構成例を示す機能ブロック図である。本発明の第1の実施形態に係る監視装置20(図4)との違いは、監視装置20の各構成に加え、通信頻度情報受信部214、装置相関マップ生成部215および予測影響範囲情報生成部216を備えていることである。その他の構成は、図4に示した監視装置20と同様であるので、説明を省略する。
通信頻度情報受信部214は、入出力部22を介して、各イベント抽出装置10bから通信頻度情報160(図12)を取得し、装置相関マップ生成部215に引き渡す。
装置相関マップ生成部215は、各イベント抽出装置10bが生成した、通信頻度情報160を結合して、制御システム1全体の通信頻度を表す通信頻度情報160(以下、「通信頻度情報(全体)160」と記載する)を生成する。
図14は、本発明の第2の実施形態に係る通信頻度情報(全体)160のデータ構成例を示す図である。
図14においては、通信頻度情報(全体)160として、図12(a)に示した通信頻度情報160と図12(b)に示した通信頻度情報160とを結合した例を表している。
通信頻度情報(全体)160を生成した装置相関マップ生成部215は、その通信頻度情報(全体)160を正規化することにより、装置相関マップ210を生成する。ここで、正規化とは、マトリクスの各成分を扱いやすい一定の範囲の数値に変換するために施す処理を指し、例えば、スケーリングや量子化が用いられる。
図15は、本発明の第2の実施形態に係る装置相関マップ210のデータ構成例を説明するための図である。
図15においては、図15(b)に示す対数的なスケールを用いて、図14の通信頻度情報(全体)160を正規化した例を、図15(a)の装置相関マップ210として示している。図15(a)の装置相関マップ210では、図14で示された通信パケットの数(パケット数)に対応して、4段階(装置間の相関を評価しないパケット数「0」を除く)の相関値(「1」〜「4」:図15(b)参照)が、装置相関マップ生成部215により算出される。なお、ここでは、相関値を、通信パケットの数が多いほど、相関が強い(相関値の値が高い)ものとして設定する。
図15(a)に示す装置相関マップ210は、制御システム1内の各制御装置2の間で、どの程度密接に情報の送受信を行っているかを相関値で示している。
なお、この装置相関マップ210の生成処理は、セキュリティ監視システム100bによる不正アクセス等の監視の運用前に、各イベント抽出装置10b(図11)から監視装置20bが通信頻度情報160を受信して、予め装置相関マップ生成部215が実行し、メモリ部23等に装置相関マップ210を記憶しておくものである。
予測影響範囲情報生成部216は、制御システム1の通常運用時に、各イベント抽出装置10bから、通信イベント情報150を通信イベント情報受信部211が受信した場合、その通信イベント情報150に含まれる宛先アドレスを用いて、波及経路上の制御装置2を抽出する。
具体的には、予測影響範囲情報生成部216は、通信イベント情報150に含まれる宛先アドレスを用いて、装置相関マップ210を参照し、その宛先アドレスに示される制御装置2と関連の深い制御装置2を抽出する。すなわち、予測影響範囲情報生成部216は、装置相関マップ210において、通信イベント情報150に含まれた宛先アドレスを、送信元アドレスに設定し、そのレコードにおいて、所定の閾値以上の相関値を持つ宛先アドレスを抽出することにより、波及経路上の制御装置2を抽出する。以下、図16を参照して、具体例を説明する。
図16は、本発明の第2の実施形態に係る予測影響範囲情報生成部216が行う予測影響範囲情報260の生成処理を説明するための図である。
図16に示すように、予測影響範囲情報生成部216は、まず、通信イベント情報150を取得すると、その宛先アドレス(「192.168.10.1」)を抽出する。そして、予測影響範囲情報生成部216は、抽出した宛先アドレスを、装置相関マップ210の送信元アドレスに設定し、そのレコードにおいて、所定の相関値の閾値(ここでは、「3」とする)以上の宛先アドレス(ここでは、「192.168.10.2」「192.168.20.1」)を抽出する。
このようにすることで、予測影響範囲情報生成部216は、通信イベント情報150の宛先アドレスを用いて、通信イベント情報150として抽出された通信パケットによる不正アクセス等の影響を受ける可能性の高い制御装置2(ここでは、アドレスが「192.168.10.2」「192.168.20.1」の制御装置2)を抽出し、このアドレスを含む予測影響範囲情報260を生成して、出力処理部213を介し、対応指令装置30bに送信する。
なお、予測影響範囲情報生成部216は、この抽出したアドレスをさらに、装置相関マップ210の送信元アドレスに設定し、そのレコードにおいて、所定の閾値以上の相関値を持つ宛先アドレスを抽出する。予測影響範囲情報生成部216は、この処理を、所定の閾値以上の相関値を持つ宛先アドレスが抽出されなくなるまで繰り返し、波及経路を予測するようにしてもよい。
図16の例では、予測影響範囲情報生成部216は、抽出した宛先アドレス「192.168.10.2」と「192.168.20.1」とを、装置相関マップ210の送信元アドレスにそれぞれ設定し、送信元アドレス「192.168.10.2」のレコードにおいて、所定の相関値の閾値(「3」)以上の宛先アドレス(ここでは、「192.168.10.3」)を抽出しさらに処理を続ける。一方、予測影響範囲情報生成部216は、送信元アドレス「192.168.20.1」のレコードについては、所定の相関値の閾値(「3」)以上の宛先アドレスがないため、波及経路の予測を終える。そして、予測影響範囲情報生成部216は、波及経路上の各制御装置2のアドレスを含む予測影響範囲情報260を生成し、対応指令装置30bに送信する。
(対応指令装置)
図17は、本発明の第2の実施形態に係る対応指令装置30bの構成例を示す機能ブロック図である。本発明の第1の実施形態に係る対応指令装置30(図6)との違いは、対応指令装置30の各構成に加え、予測影響範囲情報受信部314、優先度指令部315および出力バッファ35を備えていることである。その他の構成は、図6に示した対応指令装置30と同様であるので、説明を省略する。
この対応指令装置30bは、受信した予測影響度情報250に基づき、対応指令情報生成部312が生成した対応指令情報350を出力バッファに35を格納する。そして、対応指令装置30bは、優先度指令部315が予測影響範囲情報260に基づき、装置間の相関が強いと予測した制御装置2に対して、優先的に、対応指令情報350を送信させるように、出力バッファ35に格納された対応指令情報350の出力順を制御する。
出力バッファ35は、RAM等の記憶手段からなり、対応指令情報生成部312が生成した対応指令情報350を、出力処理部313が制御システム1の各制御装置2に送信する順に格納する。
予測影響範囲情報受信部314は、入出力部32を介して、監視装置20bからの予測影響範囲情報260を取得し、優先度指令部315に引き渡す。
優先度指令部315は、予測影響範囲情報260に付された、装置間の相関が強いと予測される制御装置2に対する対応指令情報350が、優先的に送信されるように、出力バッファ35を制御する。具体的には、優先度指令部315は、装置間の相関が強いと予測される制御装置2への対応指令情報350が、出力バッファ35の先頭に配置されるように並び替えを行ったり、出力バッファ35を通常系と優先系の2つの分け、優先系のバッファに、装置間の相関が強いと予測される制御装置2への対応指令情報350を格納したりする。
このようにすることで、対応指令装置30bは、通信イベント情報150として抽出された通信パケットによる不正アクセス等の影響を受ける可能性の高いと予測される制御装置2に対して、優先的に対応指令情報350を送信することができ、迅速な対応が可能となる。
≪変形例≫
次に、本実施形態に係るセキュリティ監視システム100(100b)の変形例について説明する。
本発明の第1の実施形態に係るセキュリティ監視システム100および第2の実施形態に係るセキュリティ監視システム100bにおいて、イベント抽出装置10(10b)(#1〜#n)それぞれは、制御システム1内の各セグメント3(#1〜#n)に対応して設けられる複数の装置とした(図1,図10参照)。しかし、本発明はこの実施形態に限定されず、イベント抽出装置10(10b)を、各セグメント3(#1〜#n)と接続された1つの装置として構成するようにしてもよい。
また、イベント抽出装置10(10b)と、監視装置20(20b)と、対応指令装置30(30b)とを、それぞれ任意に組み合わせて構成してもよく、各装置の機能を備えた1つの装置として構成するようにしてもよい。
本発明の第1の実施形態に係るイベント抽出装置10(図2参照)において、通信イベント情報生成部114が生成する通信イベント情報150(図3)のデータ構成を、ヘッダ151と、管理情報152と、特徴値153〜156とを含むものとした。しかし、本発明はこの実施形態に限定されず、この通信イベント情報150に、各特徴値153〜156が通常とは異なるか否かを判定した特徴値判定情報120の各設定条件を含めて、監視装置20に送信するようにしてもよい。
このようにすることで、監視装置20に接続されたモニタ等の出力装置に、各特徴値153〜156と、特徴値判定情報120の各設定条件とを併せて通信イベント情報150として表示させることができる。
1 制御システム
2 制御装置
3 セグメント
10,10b イベント抽出装置(イベント抽出手段)
11,21,31 制御部
12,22,32 入出力部
13,23,33 メモリ部
14,24,34 記憶部
20,20b 監視装置(監視手段)
25 イベントバッファ
30,30b 対応指令装置(対応指令手段)
35 出力バッファ
100,100b セキュリティ監視システム
110 学習値情報
111 パケット受信部
112 学習値情報生成部
113 通信イベント抽出部
114 通信イベント情報生成部
115,213,313 出力処理部
116 通信頻度情報生成部
120 特徴値判定情報
150 通信イベント情報
160 通信頻度情報
200 イベントパターン
210 装置相関マップ
211 通信イベント情報受信部
212 影響度予測処理部
214 通信頻度情報受信部
215 装置相関マップ生成部
216 予測影響範囲情報生成部
241 イベントパターンDB
242 影響度レベル情報
250 予測影響度情報
260 予測影響範囲情報
300 影響度レベル・対応指令変換情報
311 予測影響度情報受信部
312 対応指令情報生成部
314 予測影響範囲情報受信部
315 優先度指令部
350 対応指令情報

Claims (4)

  1. 1つ以上の制御装置でネットワークを構成するセグメントを1つ以上備える制御システムの異常を検知するセキュリティ監視システムであって、
    前記セキュリティ監視システムは、イベント抽出手段と、監視手段と、対応指令手段とを含んで構成され、
    前記イベント抽出手段は、
    前記セグメント内で送受信される通信パケットを取得するパケット受信部と、
    前記取得した通信パケットのうち、前記通信パケットに共通して付される情報である特徴値が、通常とは異なる通信パケットを抽出する通信イベント抽出部と、
    前記抽出された通信パケットの特徴値を付した通信イベント情報を生成し、前記監視手段に送信する通信イベント情報生成部と、を備え、
    前記監視手段は、
    一連の不正な通信パケットを送信して前記制御システムの正常な処理を妨げる不正アクセスの種類毎に、前記一連の不正な通信パケットを構成するそれぞれの通信パケットを特徴づける条件が設定され、前記設定された通信パケット毎の条件の組み合わせで前記不正アクセスの種類に応じた一連の不正な通信パケットのパターンを規定するイベントパターンが1つ以上記憶されるとともに、前記イベントパターンにより規定される不正アクセスそれぞれに対応付けて、前記制御システムに与える影響の度合を示す影響度レベルが格納される影響度レベル情報が記憶される記憶部と、
    受信した前記通信イベント情報それぞれに付される前記通信パケットの特徴値と、前記イベントパターンそれぞれに設定された通信パケット毎の条件とを照合し、類似する前記イベントパターンを検出し、前記検出したイベントパターンの前記影響度レベルを、前記影響度レベル情報を参照して決定し、前記決定した影響度レベルを付した予測影響度情報を生成し、前記対応指令手段に送信する影響度予測処理部と、を備え
    前記対応指令手段は、
    前記影響度レベルに対応付けて、前記制御システムが行うべき前記不正アクセスに対する処理が対応指令として格納される影響度レベル・対応指令変換情報が記憶される記憶部と、
    受信した前記予測影響度情報に示される前記影響度レベルに基づき、前記影響度レベル・対応指令変換情報を参照して、前記不正アクセスに対する前記対応指令を決定し、前記決定した対応指令を付した対応指令情報を生成する対応指令情報生成部と、
    前記生成された対応指令情報を前記制御システムに送信する出力処理部と、を備えること
    を特徴とするセキュリティ監視システム。
  2. 前記イベント抽出手段は、
    前記制御システムの異常を検知するための監視を開始する前に、正常時の前記制御システムにおける通信パケットを、前記パケット受信部を介して受信し、前記セグメント内の前記制御装置が送信元および宛先となる前記通信パケットの数を、前記通信パケットの前記送信元の制御装置と前記宛先の制御装置との組毎に検出した通信頻度情報を生成し、前記生成した通信頻度情報を、前記監視手段に送信する通信頻度情報生成部を、さらに備え、
    前記監視手段は、
    受信した前記通信頻度情報に示される前記通信パケットの数に基づき、前記送信元および宛先とした制御装置間の前記通信パケットの数が多いほど、相関が強いと評価する相関値を、前記通信パケットの前記送信元の制御装置と前記宛先の制御装置との組毎に算出した装置相関マップを生成する装置相関マップ生成部と、
    前記受信した通信イベント情報に含まれる宛先アドレスに示される前記制御装置を取得し、前記取得した制御装置を、前記装置相関マップで示される前記送信元の制御装置とした場合に、前記相関値が所定値以上の前記宛先の制御装置を抽出し、前記抽出した宛先の制御装置のアドレスを含む予測影響範囲情報を生成し、前記対応指令手段に送信する予測影響範囲情報生成部と、をさらに備え、
    前記対応指令手段は、
    前記対応指令情報生成部が生成した前記対応指令情報を格納しておく出力バッファと、
    受信した前記予測影響範囲情報に含まれる前記アドレスに示される前記制御装置に向けての前記対応指令情報が、優先的に送信されるように、前記出力バッファの前記対応指令情報の送信順を制御する優先度指令部と、をさらに備えること
    を特徴とする請求項に記載のセキュリティ監視システム。
  3. 1つ以上の制御装置でネットワークを構成するセグメントを1つ以上備える制御システムの異常を検知するセキュリティ監視システムのセキュリティ監視方法であって、
    前記セキュリティ監視システムは、イベント抽出手段と、監視手段と、対応指令手段とを含んで構成され、
    前記イベント抽出手段は、
    前記セグメント内で送受信される通信パケットを取得するステップと、
    前記取得した通信パケットのうち、前記通信パケットに共通して付される情報である特徴値が、通常とは異なる通信パケットを抽出するステップと、
    前記抽出された通信パケットの特徴値を付した通信イベント情報を生成し、前記監視手段に送信するステップと、を実行し、
    前記監視手段は、
    一連の不正な通信パケットを送信して前記制御システムの正常な処理を妨げる不正アクセスの種類毎に、前記一連の不正な通信パケットを構成するそれぞれの通信パケットを特徴づける条件が設定され、前記設定された通信パケット毎の条件の組み合わせで前記不正アクセスの種類に応じた一連の不正な通信パケットのパターンを規定するイベントパターンが1つ以上記憶されるとともに、前記イベントパターンにより規定される不正アクセスそれぞれに対応付けて、前記制御システムに与える影響の度合を示す影響度レベルが格納される影響度レベル情報が記憶される記憶部を備えており、
    受信した前記通信イベント情報それぞれに付される前記通信パケットの特徴値と、前記イベントパターンそれぞれに設定された通信パケット毎の条件とを照合し、類似する前記イベントパターンを検出し、前記検出したイベントパターンの前記影響度レベルを、前記影響度レベル情報を参照して決定し、前記決定した影響度レベルを付した予測影響度情報を生成し、前記対応指令手段に送信するステップを実行し、
    前記対応指令手段は、
    前記影響度レベルに対応付けて、前記制御システムが行うべき前記不正アクセスに対する処理が対応指令として格納される影響度レベル・対応指令変換情報が記憶される記憶部を備えており、
    受信した前記予測影響度情報に示される前記影響度レベルに基づき、前記影響度レベル・対応指令変換情報を参照して、前記不正アクセスに対する前記対応指令を決定し、前記決定した対応指令を付した対応指令情報を生成するステップと、
    前記生成された対応指令情報を前記制御システムに送信するステップと、を実行すること
    を特徴とするセキュリティ監視方法。
  4. 前記イベント抽出手段は、
    前記制御システムの異常を検知するための監視を開始する前に、正常時の前記制御システムにおける通信パケットを受信し、前記セグメント内の前記制御装置が送信元および宛先となる前記通信パケットの数を、前記通信パケットの前記送信元の制御装置と前記宛先の制御装置との組毎に検出した通信頻度情報を生成し、前記生成した通信頻度情報を、前記監視手段に送信するステップを、さらに実行し、
    前記監視手段は、
    受信した前記通信頻度情報に示される前記通信パケットの数に基づき、前記送信元および宛先とした制御装置間の前記通信パケットの数が多いほど、相関が強いと評価する相関値を、前記通信パケットの前記送信元の制御装置と前記宛先の制御装置との組毎に算出した装置相関マップを生成するステップと、
    前記受信した通信イベント情報に含まれる宛先アドレスに示される前記制御装置を取得し、前記取得した制御装置を、前記装置相関マップで示される前記送信元の制御装置とした場合に、前記相関値が所定値以上の前記宛先の制御装置を抽出し、前記抽出した宛先の制御装置のアドレスを含む予測影響範囲情報を生成し、前記対応指令手段に送信するステップと、をさらに実行し、
    前記対応指令手段は、
    前記生成された前記対応指令情報を格納しておく出力バッファを、さらに備えており、
    受信した前記予測影響範囲情報に含まれる前記アドレスに示される前記制御装置に向けての前記対応指令情報が、優先的に送信されるように、前記出力バッファの前記対応指令情報の送信順を制御するステップを、さらに実行すること
    を特徴とする請求項に記載のセキュリティ監視方法。
JP2012030281A 2012-02-15 2012-02-15 セキュリティ監視システムおよびセキュリティ監視方法 Active JP5792654B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2012030281A JP5792654B2 (ja) 2012-02-15 2012-02-15 セキュリティ監視システムおよびセキュリティ監視方法
CN201310049324XA CN103259778A (zh) 2012-02-15 2013-02-07 安全监视系统以及安全监视方法
DE201310002593 DE102013002593A1 (de) 2012-02-15 2013-02-14 Sicherheitsüberwachungssystem und Sicherheitsüberwachungsverfahren
US13/767,336 US8850582B2 (en) 2012-02-15 2013-02-14 Security monitoring system and security monitoring method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012030281A JP5792654B2 (ja) 2012-02-15 2012-02-15 セキュリティ監視システムおよびセキュリティ監視方法

Publications (2)

Publication Number Publication Date
JP2013168763A JP2013168763A (ja) 2013-08-29
JP5792654B2 true JP5792654B2 (ja) 2015-10-14

Family

ID=48946784

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012030281A Active JP5792654B2 (ja) 2012-02-15 2012-02-15 セキュリティ監視システムおよびセキュリティ監視方法

Country Status (4)

Country Link
US (1) US8850582B2 (ja)
JP (1) JP5792654B2 (ja)
CN (1) CN103259778A (ja)
DE (1) DE102013002593A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102016967B1 (ko) * 2018-09-28 2019-10-21 유은영 시스템 정보 데이터 상관/연관 분석을 통한 시스템 취약성/위험 측정 및 처리 방법 및 그를 위한 장치
KR102419274B1 (ko) * 2021-09-29 2022-07-11 주식회사 프렌트립 이벤트의 영향 정도를 기반으로 레저 활동 레슨에 대한 파라미터를 예측하는 전자 장치의 제어 방법

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6234804B2 (ja) * 2013-12-19 2017-11-22 株式会社日立製作所 通信中継装置
US9710648B2 (en) 2014-08-11 2017-07-18 Sentinel Labs Israel Ltd. Method of malware detection and system thereof
US11507663B2 (en) 2014-08-11 2022-11-22 Sentinel Labs Israel Ltd. Method of remediating operations performed by a program and system thereof
JP6067195B2 (ja) * 2014-09-08 2017-01-25 三菱電機株式会社 情報処理装置及び情報処理方法及びプログラム
JP6507075B2 (ja) * 2015-10-15 2019-04-24 株式会社日立製作所 不正通信検知装置、不正通信検知システム、及び不正通信を検知する方法
JP6478929B2 (ja) * 2016-02-03 2019-03-06 三菱電機株式会社 プラントの運転支援装置、プラント計装システムおよびプラントの運転支援方法
KR102522154B1 (ko) * 2016-03-15 2023-04-17 에스케이하이닉스 주식회사 반도체 메모리 장치의 컨트롤러 및 이의 동작 방법
US10542044B2 (en) 2016-04-29 2020-01-21 Attivo Networks Inc. Authentication incident detection and management
JP6650343B2 (ja) * 2016-05-16 2020-02-19 株式会社日立製作所 不正通信検知システム及び不正通信検知方法
JP6793524B2 (ja) * 2016-11-01 2020-12-02 株式会社日立製作所 ログ解析システムおよびその方法
US11616812B2 (en) 2016-12-19 2023-03-28 Attivo Networks Inc. Deceiving attackers accessing active directory data
US11695800B2 (en) 2016-12-19 2023-07-04 SentinelOne, Inc. Deceiving attackers accessing network data
JP6891583B2 (ja) 2017-03-27 2021-06-18 日本電気株式会社 情報処理装置、情報処理方法、プログラム
EP3602380B1 (en) * 2017-03-30 2022-02-23 British Telecommunications public limited company Hierarchical temporal memory for access control
US20210333787A1 (en) * 2017-04-20 2021-10-28 Nec Corporation Device management system, model learning method, and model learning program
JP6571131B2 (ja) * 2017-06-14 2019-09-04 株式会社toor パケット監視装置、パケット監視システム、パケット監視方法、及びパケット監視プログラム
US10462171B2 (en) 2017-08-08 2019-10-29 Sentinel Labs Israel Ltd. Methods, systems, and devices for dynamically modeling and grouping endpoints for edge networking
US11470115B2 (en) 2018-02-09 2022-10-11 Attivo Networks, Inc. Implementing decoys in a network environment
JP6894860B2 (ja) * 2018-02-13 2021-06-30 Kddi株式会社 優先度算出装置、優先度算出方法及び優先度算出プログラム
JP6928302B2 (ja) * 2018-06-29 2021-09-01 株式会社オプティム コンピュータシステム、IoT機器監視方法及びプログラム
US20220038472A1 (en) * 2018-09-26 2022-02-03 Nec Corporation Information processing device, control method, and program
WO2020158118A1 (ja) * 2019-01-29 2020-08-06 オムロン株式会社 セキュリティ装置、攻撃特定方法、プログラム、及び記憶媒体
EP3973427A4 (en) 2019-05-20 2023-06-21 Sentinel Labs Israel Ltd. SYSTEMS AND METHODS FOR EXECUTABLE CODE DETECTION, AUTOMATIC FEATURE EXTRACTION, AND POSITION-INDEPENDENT CODE DETECTION
US11579857B2 (en) 2020-12-16 2023-02-14 Sentinel Labs Israel Ltd. Systems, methods and devices for device fingerprinting and automatic deployment of software in a computing network using a peer-to-peer approach
CN112702335A (zh) * 2020-12-21 2021-04-23 赛尔网络有限公司 一种教育网恶意ip识别方法及装置
JPWO2022249816A1 (ja) * 2021-05-26 2022-12-01
US11899782B1 (en) 2021-07-13 2024-02-13 SentinelOne, Inc. Preserving DLL hooks
CN115348184B (zh) * 2022-08-16 2024-01-26 江苏商贸职业学院 一种物联网数据安全事件预测方法及系统

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002063084A (ja) * 2000-08-21 2002-02-28 Toshiba Corp パケット転送装置、パケット転送方法、及びそのプログラムが格納された記憶媒体
JP2003223375A (ja) * 2002-01-30 2003-08-08 Toshiba Corp 不正アクセス検知装置および不正アクセス検知方法
JP3609382B2 (ja) * 2002-03-22 2005-01-12 日本電信電話株式会社 分散型サービス不能攻撃防止方法及びゲート装置、通信装置ならびにプログラム
JP3689079B2 (ja) * 2002-10-22 2005-08-31 株式会社東芝 パケット転送装置およびパケット転送装置の不正アクセス検知時に於ける情報通知方法
JP2005165541A (ja) * 2003-12-01 2005-06-23 Oki Electric Ind Co Ltd 被害判定装置、被害解析装置、被害判別システム、被害判定プログラム及び被害解析プログラム
US7339914B2 (en) * 2004-02-11 2008-03-04 Airtight Networks, Inc. Automated sniffer apparatus and method for monitoring computer systems for unauthorized access
JP3988731B2 (ja) * 2004-02-25 2007-10-10 日本電気株式会社 ファイアウォール制御システム、ファイアウォール制御方法、および、ファイアウォール制御プログラム
JP4434053B2 (ja) * 2004-08-10 2010-03-17 横河電機株式会社 不正侵入検知装置
JP4414865B2 (ja) * 2004-11-16 2010-02-10 株式会社日立製作所 セキュリティ管理方法、セキュリティ管理装置およびセキュリティ管理プログラム
US7990967B2 (en) * 2005-01-06 2011-08-02 Rockwell Automation Technologies, Inc. Firewall method and apparatus for industrial systems
US20070266434A1 (en) * 2006-05-11 2007-11-15 Reifer Consultants, Inc. Protecting Applications Software Against Unauthorized Access, Reverse Engineering or Tampering
US8316439B2 (en) * 2006-05-19 2012-11-20 Iyuko Services L.L.C. Anti-virus and firewall system
JP2008085819A (ja) 2006-09-28 2008-04-10 Oki Electric Ind Co Ltd ネットワーク異常検出システム、ネットワーク異常検出方法及びネットワーク異常検出プログラム
US7853689B2 (en) * 2007-06-15 2010-12-14 Broadcom Corporation Multi-stage deep packet inspection for lightweight devices
JP4952437B2 (ja) 2007-08-14 2012-06-13 沖電気工業株式会社 ネットワーク監視装置、ネットワーク監視システム
CN101252441B (zh) * 2008-02-20 2010-06-02 深圳市永达电子股份有限公司 基于可设定信息安全目标的获得性安全保障方法及系统
JP4905395B2 (ja) * 2008-03-21 2012-03-28 富士通株式会社 通信監視装置、通信監視プログラム、および通信監視方法
CN101364981A (zh) * 2008-06-27 2009-02-11 南京邮电大学 基于因特网协议版本6的混合式入侵检测方法
US7903566B2 (en) * 2008-08-20 2011-03-08 The Boeing Company Methods and systems for anomaly detection using internet protocol (IP) traffic conversation data
US8726382B2 (en) * 2008-08-20 2014-05-13 The Boeing Company Methods and systems for automated detection and tracking of network attacks
US8578491B2 (en) * 2008-12-11 2013-11-05 Alcatel Lucent Network based malware detection and reporting
CN101436967A (zh) * 2008-12-23 2009-05-20 北京邮电大学 一种网络安全态势评估方法及其系统
US20120151565A1 (en) * 2010-12-10 2012-06-14 Eric Fiterman System, apparatus and method for identifying and blocking anomalous or improper use of identity information on computer networks

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102016967B1 (ko) * 2018-09-28 2019-10-21 유은영 시스템 정보 데이터 상관/연관 분석을 통한 시스템 취약성/위험 측정 및 처리 방법 및 그를 위한 장치
KR102419274B1 (ko) * 2021-09-29 2022-07-11 주식회사 프렌트립 이벤트의 영향 정도를 기반으로 레저 활동 레슨에 대한 파라미터를 예측하는 전자 장치의 제어 방법

Also Published As

Publication number Publication date
JP2013168763A (ja) 2013-08-29
DE102013002593A1 (de) 2013-08-29
US8850582B2 (en) 2014-09-30
CN103259778A (zh) 2013-08-21
US20130212681A1 (en) 2013-08-15

Similar Documents

Publication Publication Date Title
JP5792654B2 (ja) セキュリティ監視システムおよびセキュリティ監視方法
KR101538709B1 (ko) 산업제어 네트워크를 위한 비정상 행위 탐지 시스템 및 방법
CN107040517B (zh) 一种面向云计算环境的认知入侵检测方法
CN110909811A (zh) 一种基于ocsvm的电网异常行为检测、分析方法与系统
CN112184091B (zh) 工控系统安全威胁评估方法、装置和系统
JP6258562B2 (ja) 中継装置、ネットワーク監視システム及びプログラム
CN110602041A (zh) 基于白名单的物联网设备识别方法、装置及网络架构
CN111901316B (zh) 应用于工业互联网的网络流量异常检测方法及大数据平台
CN109347853B (zh) 基于深度包解析的面向综合电子系统的异常检测方法
CN111181971B (zh) 一种自动检测工业网络攻击的系统
CN110912882A (zh) 一种基于智能算法的入侵检测方法及系统
JPWO2018146757A1 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
CN109063486A (zh) 一种基于plc设备指纹识别的安全渗透测试方法与系统
CN112685682A (zh) 一种攻击事件的封禁对象识别方法、装置、设备及介质
JP5531064B2 (ja) 通信装置、通信システム、通信方法、および、通信プログラム
CN113225342A (zh) 一种通信异常检测方法、装置、电子设备及存储介质
KR100432168B1 (ko) 다중 침입탐지 객체를 이용한 보안 게이트웨이 시스템 및침입 탐지방법
CN112799356A (zh) 用于安全的数据记录的装置和方法
JP6541903B2 (ja) 攻撃・異常検知装置、攻撃・異常検知方法、および攻撃・異常検知プログラム
EP3024192A1 (en) Analysing security risks of an industrial automation and control system
WO2021237739A1 (zh) 工业控制系统安全性分析方法、装置和计算机可读介质
KR20190048656A (ko) 시스템 감시 장치 및 방법
CN112291213A (zh) 一种基于智能终端的异常流量分析方法及装置
JP6890073B2 (ja) 情報収集装置、情報収集システム
Yu et al. Mining anomaly communication patterns for industrial control systems

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140730

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150512

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150708

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150728

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150806

R150 Certificate of patent or registration of utility model

Ref document number: 5792654

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150