JP5879223B2 - ゲートウェイ装置、ゲートウェイシステムおよび計算機システム - Google Patents

ゲートウェイ装置、ゲートウェイシステムおよび計算機システム Download PDF

Info

Publication number
JP5879223B2
JP5879223B2 JP2012163485A JP2012163485A JP5879223B2 JP 5879223 B2 JP5879223 B2 JP 5879223B2 JP 2012163485 A JP2012163485 A JP 2012163485A JP 2012163485 A JP2012163485 A JP 2012163485A JP 5879223 B2 JP5879223 B2 JP 5879223B2
Authority
JP
Japan
Prior art keywords
modification
network
proxy
information
processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012163485A
Other languages
English (en)
Other versions
JP2014023136A (ja
Inventor
淳也 藤田
淳也 藤田
山田 勉
山田  勉
丸山 龍也
龍也 丸山
訓 大久保
訓 大久保
遠藤 浩通
浩通 遠藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2012163485A priority Critical patent/JP5879223B2/ja
Publication of JP2014023136A publication Critical patent/JP2014023136A/ja
Application granted granted Critical
Publication of JP5879223B2 publication Critical patent/JP5879223B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は複数の情報処理端末が接続されたネットワークに供えられるゲートウェイ装置、ゲートウェイシステムおよび計算機システムに関する。
通信ネットワークと接続された情報処理装置に対する攻撃の一つに、DoS攻撃(Denial of Service攻撃:サービス不能攻撃)がある。
DoS攻撃とは、攻撃対象の情報処理装置やネットワークに対し、その情報処理装置の処理能力を上回る大量のパケットやリクエストを送信する攻撃である。これにより本来提供すべきサービス提供の阻害や、動作停止状態に陥れようとするものである。
また大量のパケットやリクエストを送りつける方法のみでなく、情報処理端末のソフトウェアやハードウェアがもつ欠陥や仕様漏れを悪用する方法もある。これは情報処理端末が意図しないパケットやリクエストを受信させ、意図的に不具合を発生させることで、情報処理装置のサービス提供を阻害する手法である。
一方、産業制御システムでは、システム内のコンピュータネットワークのオープン化が進んでおり、インターネット標準のTCP/IP(Transport Control Protocol/Internet Protocol)およびIEEE813.3の利用や、汎用OS(Operating System)の活用が進んでいる。
従来は、各ベンダ独自仕様のプロトコルや処理装置が利用され、そこで動作するソフトウェアも独自仕様であることが多かった。
産業制御システムのオープン技術導入は、機器の低コスト化、他ベンダのシステムやインターネットとの親和性、システム情報管理の容易化等、多くの利点がある。そのため、産業制御システムを低コストかつ効率よく構築、運用するため、ベンダ独自仕様の技術に代用されるようになった。
しかしオープン技術の導入は、不正アクセスされやすく、またDoS攻撃等の攻撃を受けやすい。
インターネットの発展やコンピュータシステムの複雑化に伴い、ネットワーク上のコンピュータを狙った不正アクセスや攻撃手法も多く知られるようになった。
中でもDoS攻撃は、高度な専門知識が無くても比較的簡単に実現でき、しかも大きな被害を与えることができる。そのため、インターネット上の情報システムや情報処理装置に対する主な攻撃手法の一つとなっている。
産業制御システムへのオープン技術の導入は、インターネットや情報システムで主に利用される汎用コンピュータから産業制御システムへのアクセスを可能にする。そのため、汎用コンピュータによる産業制御システムへの不正侵入を容易にする。また技術仕様が公開されており、産業制御システムの動きを解析されやすい。
加えて、オープン技術の導入された産業制御システムにおいては、システムアップデートが行われないまま、長期間連続稼動していることが普通である。そのため、産業制御システムは不正アクセスや攻撃の耐性が低く、DoS攻撃を仕掛けられた場合、サービス遅延状態や停止状態に陥る可能性がある。併せて、サービス停止に伴う生産停止やサービス復旧に伴う高額な復旧費用など、金銭面でも大きな損害を受けるという課題がある。
以上を踏まえ、産業制御システムのサービスを遅延無く確実に提供することが強く求められている。
特許文献1では、パケット通信ネットワークにおいて、パケットを転送するパケット転送制御装置は、侵入を引き起こす可能性があるパケットを検知する手段を備える。その侵入検知結果を、当該パケットを中継する後続のパケット転送制御装置に転送する。
当該パケットの侵入検知結果は、当該パケット自身に埋め込まれ、通信ネットワークノード毎に配置された後続パケット転送制御装置によって、通信ネットワーク上に転送される。
またパケット転送制御装置が、不正アクセスから保護すべき被保護システムに障害が生じているか否かを監視し、障害の度合いに応じてパケットの通過、または廃棄等、トラフィック制御をする。
特開2006−149778号公報
特許文献1では、ネットワークに流れる全パケットを検査する。つまりDoS攻撃時に、大量通信される攻撃パケット全てを検査するため、処理負荷が非常に大きい。
特許文献1では、パケット検査毎にネットワークや端末の情報を取得し、そこから異常度を算出し、付与情報を生成する。すなわち、パケット毎に情報取得や異常度算出するため、検査処理のオーバヘッドを要する。
したがって、発明が解決しようとする課題の第1点は、特許文献1の技術では、産業制御システムにとって充分な可用性を維持しつつDoS攻撃の対策ができないということである。
産業制御システムの製品寿命は一般に数十年と、情報システムの製品寿命と比べて長い。そのため、既存の産業制御システムに対するDoS攻撃対策も検討する必要がある。
特許文献1では、異常度情報を該当パケットに冗長データを付与する。そのため、ネットワーク回線の最大伝送単位(MTU: Maximum Transmission Unit)に関し、不具合が起こる可能性がある。
特許文献1の発明を既存システムに適用した場合、既にフラグメンテーション化されたパケットに対して異常度情報を付与する。パケットのフラグメンテーションは、通常ネットワーク回線の最大伝送単位を最大限利用するように分割されるため、そのまま異常度情報を付与した場合、フレームあたりの容量が前記最大伝送単位を超え得る。そのため、特許文献1の発明を既存システムに適用する場合、システム全体の構成を変えなければならない。
しかし既存の産業制御システムにおいて、システム全体の構成を変更することは、制御パラメータなど制御情報に影響を与え得る。最悪の場合、システム構成変更後にシステムが動かなくなる場合もある。
したがって、発明が解決しようとする課題の第2点は、既存の産業制御システム全体の構成変更は避ける必要があり、特許文献1の技術では、既存の産業制御システムを容易に拡張できないということである。
特許文献1では、パケットのヘッダ情報や付与された異常度情報をもとにパケット通過可否を判定する。そのため、パケットのヘッダ情報や異常度が攻撃者によって改ざんされた場合、 そのパケットの正当性を確認できない。
したがって発明が解決しようとする課題の第3点は、特許文献1の技術では、なりすまし対策が不十分であり、なりすました攻撃者からの攻撃に十分な耐性を持たないということである。
本発明は、産業制御システムを狙ったDoS攻撃や、なりすましによる攻撃を、通常の制御処理に影響を与えない範囲で防ぐことができるゲートウェイ装置、ゲートウェイシステムおよび計算機システムを提供することを目的とする。加えて、既存の産業制御システムを容易に拡張することを目的とする。
以上のことから本発明のゲートウェイシステムは、
ネットワークに接続され、ネットワークにおける悪意の攻撃を検知して改変指令情報をネットワークに発信する改変モード制御装置と、
改変モード制御装置からの改変指令情報を得て、情報処理端末からネットワークへ送信されるデータを改変指令情報に応じて改変する代理改変処理装置と、
改変モード制御装置からの改変指令情報を得て、ネットワークから情報処理端末へ送られるデータについて改変指令情報を基に改変の有無を検査し、改変の有無に応じた処理を実行する代理復元処理装置を有することを特徴とする。
また以上のことから本発明のゲートウェイ装置は、
2組の端子を備える専用ドングルに収納されたゲートウェイ装置であって、
専用ドングル内に、ネットワークにおける悪意の攻撃を検知して改変指令情報をネットワークに発信する改変モード制御装置と、改変モード制御装置からの改変指令情報を得て、情報処理端末からネットワークへ送信されるデータを改変指令情報に応じて改変する代理改変処理装置と、改変モード制御装置からの改変指令情報を得て、ネットワークから情報処理端末へ送られるデータについて改変指令情報を基に改変の有無を検査し、改変の有無に応じた処理を実行する代理復元処理装置を備えるとともに、
2組の端子の一方を前記ネットワークに接続し、2組の端子の他方を情報処理端末に接続するように構成されたことを特徴とする。
また以上のことから本発明の計算機システムは、
通信を制御するマスタおよび複数のスレーブがリング状に接続されたリング型ネットワーク構成の計算機システムにおいて、
マスタとスレーブの前記リング型ネットワークに接続する端子とリング型ネットワークに接続しない端子にゲートウェイ装置を設け、
リング型ネットワークに接続しない端子に設けられたゲートウェイ装置が悪意の攻撃を検知して改変指令情報を発信し、
マスタの前記リング型ネットワークに接続する受信側端子に設けられたゲートウェイ装置が改変指令情報を受信し、
マスタの前記リング型ネットワークに接続する送信側端子に設けられたゲートウェイ装置がスレーブへ送信されるデータを改変指令情報に応じて改変し、
スレーブは、改変指令情報を得て、スレーブへ送られるデータについて改変指令情報を基に改変の有無を検査し、改変の有無に応じた処理を実行することを特徴とする。
本発明によれば、通常の制御処理に影響を与えない範囲で、システムを狙ったDoS攻撃や、なりすまし攻撃を防御できる。加えて、システムの全体構成を変更することなく、既存システムへ適用できる。
ネットワークに接続されたゲートウェイシステムの全体構成を示す図。 改変モード制御装置で実行する処理フローを示す図。 代理改変処理装置で実行する処理フローを示す図。 代理復元処理装置で実行する処理フローを示す図。 改変モード制御装置から送信される改変指令情報の構成例を示す図。 情報処理端末とネットワーク間にゲートウェイ装置を配置した図。 具体的な外付け1チップ化ゲートウェイ装置の構成を示す図。 複数の改変モード制御装置が同時にネットワーク異常を検知した場合を示す図。 代理改変処理装置と代理復元処理装置による同期化処理の流れを示すフロー図。 改変モード制御装置間による同期化処理の流れを示すフロー図。 優先度が低い改変モード制御装置のみが異常を検知した場合の処理フロー図。 優先度が最も高い改変モード制御装置の処理フロー図。 優先度が低い改変モード制御装置の処理フロー図。 一般的なリング型ネットワークの構成例を示す図。 リング型ネットワークにおけるDoS攻撃例を示す図。 リング型ネットワークにおけるDoS攻撃対策例を示す図。
以下、図面を用いて本発明の実施例を説明する。
図1にネットワークNWに接続されたゲートウェイシステムGTの全体構成を示している。図1のゲートウェイシステムGTは、代理改変処理装置11、代理復元処理装置12、および改変モード制御装置13から構成されている。これらの装置(11,12,13)は一方においてネットワークNWに接続され、またこのうち代理改変処理装置11と代理復元処理装置12は他方において情報処理端末CPU1,CPU2に接続されている。
図1のネットワークNWには、DoS攻撃や、なりすましによる攻撃を行う悪意の攻撃源Xが接続される恐れがある。ゲートウェイシステムGTは、悪意の攻撃源Xにより例えば産業制御システムを構成する情報処理端末CPU1,CPU2が攻撃されることを阻止する。
図1では、情報処理端末CPU1が情報処理端末CPU2にデータ送信を実行する状態を表しており、情報を送る情報処理端末CPU1とネットワークNWの間に代理改変処理装置11が設置され、情報を受ける情報処理端末CPU2とネットワークNWの間に代理復元処理装置12が設置される。
逆に情報処理端末CPU2が情報処理端末CPU1にデータ送信を実行する状態を想定すると、CPU2とNWの間に11が設置され、CPU1とNWの間に12が設置されることになる。一般には情報処理端末CPU間で相互にデータ送受信を実施するので、各情報処理端末CPUは、代理改変処理装置11と代理復元処理装置12を備えて適宜の送受信状態に応じて切り替え使用することになる。図1では説明の都合上、上記の状態を模式的に示したにすぎない。
これに対し、改変モード制御装置13はネットワークNWに適宜設けられていればよい。これらゲートウェイシステムGTの各装置は、それぞれ以下のように作動する。この作動状態を通常時と外部攻撃時に分けて説明する。
まず通常時は、改変モード制御装置13はネットワークNWの状態を振る舞い監視手段13aで監視している。しかし、外部攻撃を検知しないのでネットワークNWに何らの検知情報を送出しない。
代理改変処理装置11の改変モード切り替え手段11aは、改変モード制御装置13からネットワークNWを経由して外部攻撃検知情報を受信しない通常時には、情報処理端末CPU1から受信したパケットを、改変処理部11bを経由しないルートR1により、ネットワークNWに送り出す。この場合、情報処理端末CPU1のパケットは、そのままネットワークNWに送られる。
代理復元処理装置12の改変モード切り替え手段12aは、改変モード制御装置13からネットワークNWを経由して外部攻撃検知情報を受信しない通常時には、ネットワークNWから受信したパケットを、改変復元手段12dを経由しないルートR3により、情報処理端末CPU2に送る。この場合、ネットワークNWからのパケットは、そのまま情報処理端末CPU2に送られる。
このようにして、外部攻撃を検知しない通常時には、産業制御システムを構成する情報処理端末CPU1,CPU2、さらにはネットワークNWに接続された一般の情報処理端末CPUの間での自由な制限のない情報送受信が実現されている。
これに対し外部攻撃を受けた場合の動作を以下に説明する。
改変モード制御部13は振舞い監視部13aおよび改変指令情報発信手段13bから構成される。改変モード制御部13の振る舞い監視手段13aは、ネットワークNWの状態を監視してネットワークNWの異常を確認した場合、改変指令情報発信手段13bを駆動して改変指令情報SをネットワークNWに送信する。
これら各部の機能についてより詳細に述べると、振舞い監視部13aはネットワークNWを常時監視し、ネットワークNWの高負荷状態や侵入疑惑パケットなどの通常と異なる振舞い検知した場合、その検知結果を改変指令情報発信手段13bへ通知する。
改変指令情報発信手段13bは、振舞い監視部13aの通知結果に応じ、パケットの改変ルールを策定し、その改変ルール情報を含む改変指令情報Sを生成する。生成された改変指令情報Sは、ネットワークNW内の全ての代理改変処理装置11、全ての代理復元処理装置12および他の全ての改変モード制御部13へ通知される。
代理改変処理装置11の改変モード切り替え手段11aは、改変モード制御部13からの改変指令情報Sを解読して情報処理端末CPU1がネットワークNWに送るパケット送信ルートを、改変処理部11bを経由するルートR2に変更する。改変処理部11bでは、情報処理端末CPU1から発信されたパケットに所定の改変処理を施し、ネットワークNWへ送信する。なお、改変モード切替手段11aは、改変指令情報Sを解読し、改変処理の可否や、改変処理の内容を判定する。
代理復元処理装置12の改変モード切り替え手段12aは、改変モード制御部13からの改変指令情報Sを解読して、ネットワークNWから情報処理端末CPU2に送られるパケット送信ルートを、改変復元部12dを経由するルートR4に変更する。これにより、改変を加えられた情報処理端末CPU1のパケットは、改変復元部12dにおいて改変前の状態に戻されて情報処理端末CPU2に転送される。なお、改変を加えられていないパケットは、破棄される。
代理復元処理装置12についてより詳細に説明する。代理復元処理装置12は、改変モード切替手段12a、改変検知手段12b、フィルタリング部12cおよび改変復元手段12dを備えており、これらは以下のように機能する。
改変モード切替手段12aは、代理改変処理装置11内の改変モード切替手段11aと同様、改変指令情報Sを解読し、改変処理の有無や、現在の改変処理内容を判定する。
改変検知手段12bは、受信したパケットの改変有無を確認し、所定の改変処理がなされているかどうか検知する。
フィルタリング部12cは、改変検知手段12bによって得られた改変検知結果に応じ、改変有無によりパケットの通過、または棄却を判定する。
改変復元手段12dでは、改変されたパケットを元の状態へ復元し、情報処理端末CPU2へ転送する。
代理復元処理装置12は情報処理端末15へ送られる全パケット、またはフレームに対して前記一連の処理を実行する。
この結果、受信側の情報処理端末CPU2には送信側で所定の改変処理を加えたパケットのみが伝送されることになる。外部攻撃時の悪意のパケットは、所定の改変処理を施されたものではないので、受信側の情報処理端末CPU2には伝達されない。
つまり、本発明のゲートウェイシステムGTを、産業制御システムを構成する情報処理端末CPUのみに適用した場合、外部攻撃状態でのこれら産業制御システム内でのCPUの間での自由な制限のない情報送受信を実現するが、産業制御システム外CPUからの一切の信号受信(この中には悪意の攻撃が含まれる)を途絶する。
以上、ゲートウェイシステムGTを構成する代理改変処理装置11、代理復元処理装置12、および改変モード制御装置13の通常時及び外部攻撃を受けた時の動作について説明した。
次に悪意攻撃侵入時における、システム各部の処理手順について図面で説明する。図2は改変モード制御部13、図3は代理改変処理装置11、図4は代理復元処理装置12、における処理フローの流れをそれぞれ表している。
まず、図2により改変モード制御部13の処理フローから説明する。
改変モード制御部13では、ステップS131においてネットワークNWの通信状況を監視し、その異常有無を判定する。異常を確認した場合(Yes)、ステップS132において改変モードのセッション(異常を検知し、システムが改変モードに切り替わってから、異常観測が終了し、システムが通常状態へ戻るまでの一連処理)を開始する。
セッション開始後、ステップS133では改変指令情報発信部132にて、パケット改変ルールを生成する。なおパケット改変ルールについて後述する。
前記パケット改変ルール生成後、ステップS134において生成した改変ルールを含む改変指令情報Sを生成する。
改変指令情報を生成した後、ステップS135ではネットワークNW内の全送信処理装置11及び全受信処理装置12へ向け、改変指令情報Sを発信する。
改変指令情報Sを送信後、ステップS136では定期的にネットワークNWの異常継続状況を確認する。ステップS137において異常終了を確認できた場合、セッションを終了し異常監視を継続する。
以上述べたように、処理ステップS133ではパケット改変ルールを生成し、処理ステップS135では改変指令情報としてネットワークNW内の全代理改変処理装置11及び全代理復元処理装置12へ送信する。この改変処理ルールに従い、以後の全送信処理装置11及び全受信処理装置12の動作が定まることになる。このため、改変ルールは、改変前後でパケットサイズが不変で、かつ改変を少ない処理量で検知できるルールであることが望ましい。
以下、好ましいパケット改変ルールのいくつかを説明する。改変例1は、例えば、IPv4パケットのバージョン部(4bit)を利用するものである。
例えば、IPv4パケットのバージョン部(4bit)は常に4(二進表記:0100)を保持している。ここで改変ルールとして、例えばIPv4パケットのバージョン部をビット反転させる。このルールを適用した場合、バージョン部は11(二進表記:111)になる。
IPv4パケット処理において、バージョン部が11という値を保持することは無い。そのため代理復元処理装置12では、パケットのバージョン部を確認することで改変を検知できる。
当該手法では、改変指令情報Sによりバージョン部による改変を指示された代理改変処理装置11はIPv4パケットのバージョン部をビット反転させて送信する。改変指令情報Sによりバージョン部による改変を受けた代理復元処理装置12は、ビット反転されたバージョン部を受信してこれを確認することで改変を検知するとともに正規の信号と認識して、バージョン部を復元してパケット再現する。
改変例2は、例えばIPアドレスを改変して利用する手法である。
例えば、あるクラスCに属するイントラネット(プライベートネットワークNW)を流れるIPv4パケットにおいて、パケットの送信元アドレスが「GTX.168.0.5」であるとする。また、改変ルールとしてアドレス上位8bitと8bitから15bitまでの8bitの値を交換するルールを採用する。
このルールを適用した場合、改変後の送信元アドレスは「158.GTX.0.5」となる。クラスCのプライベートネットワークNWにおいて、IPv4アドレスの上位8bit(0bitから7bit)、および8bitから15bitは必ずGTX、168であるため、送信元アドレスの上位8bitを確認することで異常を検知できる。
改変例3は、アドレスと他のヘッダ情報を組み合わせて利用する手法である。
改変例2と同様に、あるクラスCに属するイントラネットを流れるIPv4パケットにおいて、パケットの送信元アドレスが「GTX.168.0.5」とした場合、改変ルールとして、IPv4ヘッダのTOS(Type of Service)部をビット反転したものとアドレス上位8bitを交換する。
TOS部の第8bitは、MBZ(Must Be Zero)と呼ばれる常に値が0の予約値を持っている。従って、TOS部をビット反転させた場合、第8bitは常に1となるため、その値はGTX(二進表記:11000000)になることは無い。したがって、改変を検知できる。
改変例4は、ストリーム暗号を採用する手法である。
これは前記の改変手段の変わりにパケットサイズ不変のまま暗号可能なストリーム暗号を採用する方式である。
ストリーム暗号を採用した場合、改変ルールを解析される心配は低い。しかし暗号化や復号化による処理遅延等、通常の改変処理および復元処理と比べてオーバヘッドを要する。そのためストリーム暗号を採用する場合、ある程度処理遅延を許容できるシステムでなければならない。
以上、改変例をいくつか説明したが、この改変の組み合わせも利用可能である。改変ルールパターンが少ない場合、攻撃者に通信を盗聴され、改変ルールを解析される可能性がある。
そこで、改変ルールパターンを組み合わせて利用することで、改変ルールパターン数を多くできるだけでなく、改変ルールを複雑化することができ、解析される危険性を軽減できる。
さらには、改変情報の定期更新を行うことも有効である。この場合には、代理改変処理装置11および代理復元処理装置12の改変ルールは定期的に更新される。
改変ルールを長期間更新しない場合、攻撃者に盗聴され、改変ルールを解析される可能性がある。そのため、改変ルールを定期的に更新する必要がある。
改変ルール更新時は、改変モード制御部13から新しい改変指令情報Sを発信し、それを受信した代理改変処理装置11および代理復元処理装置12は新しい改変モードへ切替る。
また改変情報更新時における代理復元処理装置12での工夫として、代理復元処理装置12は、改変モード更新直前に送信されたパケットの棄却を防ぐため、更新前の改変ルールを一定期間有効にする。改変モード更新前に送信されたパケットの受信処理がすべて完了するだけの十分な時間が経過した後、更新前の改変ルールを破棄する。
尚、改変ルールについての以上の説明ではIPv4パケットを用いて説明したが、IPv4に限らず、他のプロトコル、例えばIPv6パケットや、IEEE813.3 準拠フレーム、IEC61784準拠の各種産業用ネットワークNWフレームに対しても適用できる。
これらパケットやフレームに本発明を適用する場合もIPv4と同様、予約値やヘッダ情報を用いて改変ルールを生成する。
次に、図3により代理改変処理装置11の処理フローを説明する。この代理改変処理装置11の処理フローは、情報処理端末CPU1からパケットを受け取り次第、処理を開始する。
パケット受信後、ステップS111において、改変モードであるかどうか判定する。改変モードの判定は、改変モード制御装置13からの改変指令情報Sを解析することで判明する。
改変モードでなければ、当該パケットに改変処理を加えることなく、ステップS113においてルートR1を経由してそのままネットワークNWへ送信する。
一方、分岐ステップS111にて改変モードと判定された場合、ステップS112において当該パケットに所定の改変処理を施す。この改変処理は、改変モード制御部13が決定した改変ルールに従った処理である。
ステップS113では、パケットを改変処理後、改変された当該パケットをネットワークNWへ転送する。
次に、図4により代理復元処理装置12の処理フローを説明する。この代理復元処理装置12は、ネットワークNWからパケットを受け取り次第、処理を開始する。
ステップS121ではパケット受信後、代理復元処理装置12が改変モードであるか判定する。改変モードでなければ、ステップS124において当該パケットをそのまま情報処理端末CPU2へ転送する。
一方、分岐ステップS121にて改変モードと判定された場合、ステップS122においてIEEE813.3のエラー検出機能等を用いてビット検査をする。これは、ビットエラーにより改変条件を満足する恐れを防ぐためである。ビットエラー未検出の場合、ステップS123において当該パケットの改変有無を検査する。
分岐ステップS122にて、当該パケットの改変を検知した場合、ステップS124において当該パケットを通過許可し、当該パケットを改変前の状態に戻す。その後ステップS125で、当該パケットを情報処理端末15へ転送する。
一方、分岐ステップS122にて当該パケットの改変を確認できない場合、ステップS126において当該パケットを通過不許可として破棄する。
次に、改変モード制御装置13から送信される改変指令情報Sの構成例について説明する。改変指令情報Sの構成例を図5に示す。
本構成例では、IEEE813.3準拠フレームを取り上げている。IEEE813.3準拠フレームは、先頭からヘッダ部141、データ部142、エラー検出部143で構成されている。この例では、改変モードを制御する情報をデータ部142に埋め込んだものである。
本構成例では、改変モードを制御する情報として、データ部142内に制御情報部144、改変回数部145、照合情報部146、優先度情報部147および改変ルール情報部148を持つ。
このうち制御情報部144は、代理改変処理装置11および代理復元処理装置12の制御情報を持つ。ここで制御情報とは、パケット改変モードへの切り替えや、パケット改変モードを終了するためのコマンド情報である。その他、改変モード制御部13を制御する情報を含む場合もある。
改変回数部145は、改変ルールの組み合わせパターン数を持つ。例えば、任意の改変ルールを5種類組み合わせて利用する場合、改変回数部の値は5となる。
照合情報部146は、改変検知のためのビット照合場所や判定情報を持つ。例えば、IPv4パケットのバージョン部の改変を検知したい場合、照合情報部146は、IPv4パケットのバージョン部の場所情報や、改変時の情報を持つ。この情報をもとに、改変検知手段12bは該当パケットの改変有無を検知し、パケットの通過または棄却を判断する。
優先度情報部147は、改変モード制御部13がネットワークNW内に複数存在する場合、改変指令情報を発信した改変モード制御部13の優先度情報を持つ。例えば優先度番号や、異常を検知した時刻情報など、優先度を判断するための情報が格納される。
改変ルール情報部148は、改変ルールを決定するパラメータを持つ。パラメータの例として、パケット改変パターン情報などがある。代理改変処理装置11および代理復元処理装置12は、改変パターン情報部148に含まれる情報を基に、改変処理や復元処理を実行する。
図5の改変指令情報Sの構成を採用した場合、代理復元処理装置12内のフィルタリング部12Cは、以下のように機能する。代理復元処理装置12が改変モードとして動作する場合、フィルタリング部12Cは、改変ルールに応じた照合情報を持つ。この照合情報は、図5に示す改変指令情報S内の照合情報部146から抽出される。
この照合情報部146の内容は、改変モード制御部13内の改変指令情報発信手段13bにて決定されるパケット改変ルールから計算される。他の構成として、照合情報部146は情報を持たず、改変ルール情報部148の情報から、代理復元処理装置12にて照合情報を算出する構成も採用できる。この構成の場合、検証パケットのビット照合場所が限定されており、パケット全体を検証する必要はない。したがって、高速なフィルタリングが可能である。
最後に、外部攻撃を検知する働きをする改変モード制御部13内の振舞い監視部13aに求められる機能について説明する。振舞い監視部13aには、IDS(Intrusion Detect System)の機能と同等の機能が実装される。これによりネットワークトラフィック量による検知や、通常稼働で確認されない異常パケットやフレームの検知等、通常と異なる振舞いを監視する。
IDSの性能傾向として、柔軟かつ誤検知率が低いほど複雑な処理を必要とする。そのため、異常検知処理方法は、対象システムのリソースを十分考慮して選択する。
以上詳細に説明した本発明の実施例1によれば、以下の効果を奏することができる。
本構成によると、正常端末から送信されたパケットのみ改変処理を施し、不審端末からのパケットは何も処理しない。また本発明による改変処理は、特許文献1の手法と比べ、複雑な処理を必要としない。そのため、処理負荷を低くすることができる。加えてフィルタリング処理も、部分的な改変有無の確認処理のみである。
少ない処理量で通信遅延を大きく抑えることができるため、産業制御システムネットワークにおいて非常に効果的である。
そのため従来の技術と比べ、通信遅延をより押さえつつ、DoS攻撃を防止できることができ、発明が解決しようとする課題の第1点を解決している。
同時に、改変処理によってパケットサイズは変わらない。本発明の適用対象システムがサポートする従来の通信技術を利用するため、システム全体構成を変更することなく拡張可能である。
前記通り、産業制御システムはシステム全体の構成を変更した場合、システム最適化のため、一定期間操業を停止しなければならない。場合によっては、最適化できずシステムが立ち上がらない可能性もある。
したがって本発明は、製品リプレース頻度が少ない産業制御システムに対して非常に効果的であるという発明が解決しようとする課題の第2点を解決している。
また本構成では、予め本ゲートウェイ装置を配置した正規な端末のみが改変パケットを送信できるため、不正にネットワークへ接続された端末の通信を防ぎ、なりすましの脅威を抑えられる。
特に産業制御システム内部のネットワークのような、接続可能な端末が限定される場所に対して非常に効果的であるという発明が解決しようとする課題の第3点を解決している。
図1を用いて実施例1の説明を行ったが、この場合にゲートウェイシステムGTは、代理改変処理装置11、代理復元処理装置12、および改変モード制御装置13から構成されていると説明した。
また、一般には情報処理端末CPU間で相互にデータ送受信を実施するので、各情報処理端末CPUは、代理改変処理装置11と代理復元処理装置12を備えて適宜の送受信状態に応じて切り替え使用することになると説明した。
これらのことから実施例2では、代理改変処理装置11、代理復元処理装置12、および改変モード制御装置13の機能を一体に組み込んだゲートウェイ装置GTを1チップ化し、情報処理端末CPUとネットワークNW間に標準的に配置するものである。
図6は、複数の情報処理端末CPUと所内ネットワークNWで構成される産業制御システム1000であって、各情報処理端末CPUと所内ネットワークNWの間に1チップ化ゲートウェイ装置GTを配置したものである。1チップ化ゲートウェイ装置GTは、代理改変処理装置11と代理復元処理装置12と改変モード制御装置13の機能を一体に組み込んだものである。
この1チップ化ゲートウェイ装置GTは、例えば専用ドングル(dongle)として構成し、代理改変処理装置11と代理復元処理装置12と改変モード制御装置13の機能をワンチップマイコンに収納する。専用ドングルとすることにより、各情報処理端末CPUと所内ネットワークNWの間の接続がより簡便に行えるし、標準化できる。
専用ドングルによるゲートウェイ装置GTは、2組の端子を備える専用ドングルに収納されたゲートウェイ装置であって、専用ドングル内に、ネットワークにおける悪意の攻撃を検知して改変指令情報をネットワークに発信する改変モード制御装置と、改変モード制御装置からの前記改変指令情報を得て、情報処理端末からネットワークへ送信されるデータを改変指令情報に応じて改変する代理改変処理装置と、改変モード制御装置からの改変指令情報を得て、ネットワークから情報処理端末へ送られるデータについて改変指令情報を基に改変の有無を検査し、改変の有無に応じた処理を実行する代理復元処理装置を備えるとともに、2組の端子の一方をネットワークに接続し、2組の端子の他方を情報処理端末に接続するように構成されたものである。
一般に産業制御システムで使用される情報処理端末CPUは、その型式やOSや機能が多様であることが多いが、実施例2の本発明では外付けの1チップ化ゲートウェイ装置GTの部分で対応できるので情報処理端末CPUにおける各種の事情を考慮せずとも好い。本発明を構成する各装置の機能を一つの装置としてまとめた構成とすることにより、実施例1のゲートウェイシステムを容易に拡張可能とする。
なお、産業制御システムで使用される情報処理端末CPUとしては、プログラマブルコントローラ、制御サーバ、遠方監視制御装置SCADA、エンジニアリングワークステーションEWS、プロセスコンピュータ、ユーザインターフェイスHMIなど種々のものがあるので、ネットワークとの接続がドングル化されたゲートウェイ装置GTで実現できることによる標準化のメリットは大きいものがある。
図7は、具体的な外付けの1チップ化ゲートウェイ装置GTの構成を示している。図7のゲートウェイ装置GTの構成は、図1のゲートウェイ装置GTの構成と基本的に同じなので、装置構成についての詳細な説明は省略する。
但し、この場合に取り扱う信号の処理手法としては、変更改良を要する部分が生じてくる。これは、改変モード制御部13が複数存在することに伴う同期の必要性である。以下この課題の解決策について詳述する。
なお、図7の事例では改変モード制御部13も含めた一体化を前提としているので、改変モード制御部13が複数存在することに伴う同期の必要性が発生してくる。従って、1チップ化ゲートウェイ装置GTとしては代理改変処理装置と代理復元処理装置のみを標準的に備え、改変モード制御部13の機能をネットワーク上に別個に1台設置する構成とするなら、同期の問題を生じないので以下の対策が不要である。1チップ化ゲートウェイ装置GTをドングル化するに際しては、係る構成も可能である。
実施例2の1チップ化ゲートウェイ装置GTの構成を適用したシステムの場合、同じネットワーク内に、実施例1記載の改変モード制御装置13と同等の処理を担保する改変モード制御部13が複数存在することとなる。
改変モード制御部13が同一ネットワークNWに複数存在する場合、ネットワークNWに分散する複数の代理改変処理部11および代理復元処理部12の改変モード整合性が合わなくなる場合もある。
例えば図8の構成では、同一ネットワークNW上の改変モード制御装置13Aおよび改変モード制御装置13Bがほぼ同時にネットワーク異常を検知した場合を想定する。
この場合、改変モード制御装置13Aおよび改変モード制御装置13Bは、それぞれ改変ルールが異なる改変指令情報SA,SBを発信する。
これら複数の改変モード制御装置13がそれぞれ発した改変指令情報Sの受信タイミングによって、代理改変処理装置11および代理復元処理装置12がそれぞれ異なる改変ルールを採用する場合がある。この場合、その改変ルールは代理復元処理装置12と異なるため、代理改変処理装置11から送信されたパケットはフィルタリングされてしまい、受信できないことが想定される。
以上の問題を解決するため、複数の改変モード制御装置13が同一ネットワークに存在する場合、それらの改変ルールを統一する必要がある。以下、改変モード制御装置13の間の同期を実現する具体事例を説明する。
改変ルールを統一するため、ネットワーク内の全代理改変処理装置11、全代理復元処理装置12および全改変モード制御装置13を同期することで解決できる。
以下、ネットワーク異常検知時刻を用いた同期例を説明する。
図8の構成において、改変モード制御装置13Aおよび改変モード制御装置13Bがほぼ同時にネットワーク異常を検知した場合を想定する。ここで、改変モード制御装置13Aが異常を検知した時刻をt1、改変モード制御装置13Bが異常を検知した時刻をt2とする。
第1の対応事例は、改変処理装置11、代理復元処理装置12での処理例である。代理改変処理装置11及び代理復元処理装置12の同期化処理の流れを図9に示す。
ここでは、代理改変処理装置11または代理復元処理装置12が、改変モード制御装置13Aが発行した改変指令情報SAを受信した時、代理改変処理装置11または代理復元処理装置12は、改変モード制御装置13Aの異常検知時刻(t1)を取得する。
また同様に、代理改変処理装置11または代理復元処理装置12が、改変モード制御装置13Bが発行した改変指令情報SBを受信した時、代理改変処理装置11または代理復元処理装置12は、改変モード制御装置13Bの異常検知時刻(t2)を取得する。
図9のステップS31では、改変モード制御装置13Aの異常検知時刻(t1)取得後、事前に受信した改変モード制御装置13Bの改変指令情報SBから再現した改変モード制御装置13Bが異常を検知した時刻(t2)と比較する。
t1<t2の場合(Yes)、ステップS32に移り、改変モード制御装置13Bが発行した改変指令情報を破棄し、改変モード制御装置13Aが発行した改変モードを引き続き採用する。
一方t1>t2の場合(No)、ステップS33に移り、受信した改変モード制御装置13Aの切替メッセージを棄却し、改変モード制御装置13Bが生成した改変ルールを引き続き採用する。
この手法は、早く異常検知した側の改変モード制御装置13が生成した改変ルールを引き続き採用するようにしたものである。但し、これは逆に遅く異常検知した側の改変モード制御装置13が生成した改変ルールを引き続き採用するようにしてもよい。要するに、代理改変処理装置11と代理復元処理装置12が、同じ改変モード制御装置13が生成した改変ルールを選択するように、検知時刻の情報を利用して同一の改編ルールを選択するようにこれらの間で取り決めておけばよい。
第2の対応事例は、改変モード制御装置間の同期を図ったものである。この時の処理フローを図10に示す。ここでは、改変モード制御装置13Bが、改変モード制御装置13Aが生成した改変指令情報を受信する場合を考える。
改変モード制御装置13Bは、ステップS41において自己がネットワークの異常を検知した時、その異常を検知した時刻(t2)を取得する。取得後、ステップS42で改変指令情報SBを生成し、それを送信する。
送信後、改変モード制御装置13Aが生成した改変指令情報SAを受信する。ステップS43では、改変指令情報SAから改変モード制御装置13Aが異常を取得した時刻(t1)を取得し、t1とt2を比較する。
ステップS43の判断がt1<t2である場合、ステップS44に移り改変モード制御装置13Aが生成した改変モードS1を採用し、ステップS45で優先度が高い改変モード制御装置13Aのアドレスを保存する。こうすることで、優先度がより大きな改変モード制御装置13を把握する。
一方ステップS43の判断が、t1>t2である場合は、ステップS46に移り受信した改変指令情報SAを棄却する。
この処理を繰り返すことで、ネットワーク全体は最も優先度が高い(異常検知時刻が最も早い)改変モード制御装置13が生成した改変モードを採用することとなる。こうすることで、改変モード制御装置間の同期ができる。
第3の対応事例は、定期更新による対処であり、例えば改変パターンの定期更新は、優先度が最も高い改変モード制御装置13により実行される。
すなわち図8の構成例であれば、異常検知時の時刻が早い改変モード制御装置13Aが定期的に改変指令情報Sを発信することでゲートウェイシステム全体の改変モードを制御する。
一方、改変モード制御装置13Bはネットワーク異常監視のみを行い、改変指令情報Sは発信しない。
第4の対応事例は、優先度番号による同期方法である。この手法は、事前に改変モード制御装置13の優先度を決定し、それに応じて同期を実現する方法である。
第5の対応事例は、優先度番号によるモードの制御である。本手法の特徴は、改変モード制御装置の優先度を事前に決めておくことである。この場合の基本的な処理フローは、ネットワーク異常検知時刻を用いた同期手法と同じであるが、より簡便な番号を用いて管理する。
この例では、改変モード制御装置13A、代理改変処理装置11または代理復元処理装置12が、改変モード制御装置13Aにて発信された改変指令情報SAを受信した時、本手法は事前に決められた優先度に従い、改変モード変更処理を実行する。
例えば、改変モード制御装置13Aの優先度番号が1、改変モード制御装置13Bの優先度が2である場合、上記例であれば、改変モード制御装置13Bより改変モード制御装置13Aの方が優先度は高い。
この時改変モード制御装置13Bは、より優先度の高い改変モード制御装置13Aの改変モードを採用し、自身が持つ改変モード情報を破棄する。
図11に、図8のシステム構成において、優先度が低い改変モード制御装置13Bが異常を検知し、かつ優先度が高い改変モード制御装置13Aが異常を検知していない場合の処理の流れを示す。
この優先度が高い改変モード制御装置13A(優先度:X)が、優先度が低い改変モード制御装置13B(優先度:Y)の改変指令情報SBを受信した状態での処理では、まずステップS51において、受信した改変指令情報を発信した改変モード制御装置13Bの優先度を確認する。そしてステップS52で自身の優先度と比較する。
自身の優先度Xが改変モード制御装置13Bの優先度Yより高いことを確認した場合、ステップS53に移り受信した改変指令情報を破棄し、ステップS54において自身(改変モード制御装置13A)で新規に改変指令情報SAを生成し、それを一斉発信する。
逆に自身(改変モード制御装置13A)の優先度が改変モード制御装置13Bより低い場合、ステップS55に移り受信した改変指令情報SBの内容を採用し、ステップS56において優先度が高い改変モード制御装置13Bのアドレスを保存する。
こうすることで、ゲートウェイシステム全体の改変モードは、優先度が高い改変モード制御装置13Aが規定した改変モードを採用し、同期が完了する。
このシステム構成の場合には、さらに異常終了時の処理を工夫する必要がある。ネットワークにおける異常状態の終了を確認するためには、ネットワーク内に配置された全ての改変モード制御装置13がネットワークの異常終了を確認しなければならない。
図8のシステム構成例の場合に、ネットワーク全体の異常終了を確認する処理の流れを図12と図13に示す。図12は、この場合の優先度が最も高い改変モード制御装置13Aのフローチャート、図13は、この場合の優先度が低い改変モード制御装置13Bのフローチャートを示している。この処理では改変モード制御装置13Aと13Bによる連係動作を行うので、図12と図13の処理を交互に説明することになる。
まず図12の改変モード制御装置13Aのフローにおいて、自己(優先度が最も高い改変モード制御装置)13Aが異常終了確認した状態で、ステップS61において優先度が低い改変モード制御装置13Bの異常観測状況を確認するメッセージを発信する。
メッセージ発信後は、ステップS64で定めた一定時間内は、ステップS62で確認メッセージが返信されてくることを確認している。
このメッセージは改変モード制御装置13Bに伝達され、図13のフローにおいて異常監視状況確認信号を受け取った改変モード制御装置13Bの動作が開始する。ここでは最初にステップS71においてネットワークの異常を観測し、異常終了を確認済みの場合は何も処理をしない。
一方、メッセージを受け取った改変モード制御装置13Bが異常を継続して観測している場合、ステップS72に移り、優先度が最も高い改変モード制御装置13Aへ応答メッセージを送信する。
図12に戻り、優先度が最も高い改変モード制御装置13Aは、ステップS62において一定期間メッセージの返答が無いことを確認した場合、ステップS63においてネットワークの異常が終了したと見なす。そして、ネットワーク内の代理改変処理装置11及び代理復元処理装置12に改変指令情報SAを送信し、改変モードを終了させる。
なお応答メッセージを受信した場合、ステップS64において一定時間待機後、確認メッセージを再送する。こうすることで、ネットワーク全体の異常継続有無を確認できる。
実施例2の構成によると、同一ネットワーク内に複数の改変モード制御装置13が存在する場合でも、ユーザが意識することなく、ネットワーク全体の改変モードを自動的に同期できる。
また、改変モード制御装置13をネットワーク上のあらゆる位置へ配置できるため、異常の検知度を高くすることが出来る。
次に実施例3として、いわゆるIEC61784−2(EtherCAT:登録商標)に適用することについて説明する。本発明は、係るリング型ネットワークを利用した産業制御システムのDoS攻撃対策としても効果的である。
一般的なリング型ネットワークの構成例を図14に示す。本構成によると、通信を制御するマスタ17および各端末を表す複数のスレーブ18がリング状に接続される。
マスタ17は各スレーブ18に転送するデータを一つのフレームに埋め込み、各スレーブ18を中継するようにデータを転送する。転送されたフレームは全スレーブ18を通過した後、再びマスタ17へ受信される。
スレーブ18は、マスタ17から送られたフレームから自身が必要なデータの読み出しや、送信したいデータをフレームへ書き出す。
係るIEC61784−2(EtherCAT)ネットワークにおけるDoS攻撃例として、図15に示すようにスレーブ18の空きポートに、攻撃端末19を不正に接続されて攻撃される場合がある。このように不正に接続された攻撃端末19が、マスタ17から転送するフレームを偽装して大量に送信することでDoS攻撃が成立する恐れがある。
本発明の実施例3におけるIEC61784−2(EtherCAT)ネットワークに対するDoS攻撃対策手法として、本発明を適用した例を図16に示す。この例では、マスタ17および各スレーブ18のリング状伝送路を構成する各端子間に、本発明におけるゲートウェイ装置GTを接続した構成である。この際、各スレーブ18の空き端子に対しても本発明のゲートウェイ装置GTXを適用する。
つまり、リング型ネットワークを構成する端子に本発明のゲートウェイ装置GTを適用するとともに、リング型ネットワークを構成しない空き端子にも本発明のゲートウェイ装置GTXを適用しておく。
本発明を適用したリング型ネットワークにおいて、不正にスレーブ端末18の空き端子に攻撃端末19を接続した攻撃者が、フレームを偽装してDoS攻撃した時の対処フローを説明する。
まず、スレーブ18の攻撃者が接続したポート(空き端子)の受信側に設置されたゲートウェイ装置GTXの改変モード制御部13は異常を検知する。異常検知後、リング型ネットワーク上のマスタ受信部のゲートウェイ装置GTRに向けて異常を検知したことを示すフラグ情報を転送する。
フラグ情報を受け取ったマスタ受信部のゲートウェイ装置GTRは、マスタ送信部のゲートウェイ装置GTS内の改変モード制御部13に向けて改変モード切替要求を生成するよう通知を出す。
通知を受けたマスタ送信部のゲートウェイ装置GTSは、適用する改変ルールを決定し、改変指令情報Sを生成し、ネットワーク内の各スレーブへ向けて送信する。各スレーブのリング型ネットワーク上の端子に接続されたゲートウェイ装置GTは、ゲートウェイ装置GTSが受信した改変指令情報受信し、改変モードへ切り替わる。
改変指令情報Sは、上記リング型ネットワークにおけるフレーム転送処理と同様、マスタ送信部GTSから各スレーブ18を介し、マスタ受信部GTRへ転送される。
ゲートウェイ装置GTが改変モードへ切り替わった場合、各ゲートウェイ装置GTは改変されていないフレームを破棄する。従って、攻撃者から送信されるフレームは未改変であるため、スレーブ18の受信側ポートに接続されたゲートウェイ装置GTXの代理復元処理部12によって棄却される。
上記のマスタ/スレーブ型通信における改変モード制御部13の取り扱いについて説明する。上記リング型ネットワークに代表されるマスタ/スレーブ型の通信ネットワークにおいて、各スレーブは異常検知情報をマスタに向けて送信する。マスタ側のゲートウェイ装置は改変指令情報を送信する。特にマスタ/スレーブ型のネットワークでは、上記リング型ネットワークにおける例で示すように、その通信の特徴を利用したゲートウェイ装置間の同期が可能である。
実施例3による効果について説明する。
まず、本構成によると、システムがリング型ネットワークを使用している場合であっても、DoS攻撃に対する耐性を備える事ができる。
また正規端末の不正操作対策を行うことができる。
ポートやパケットパターン、フレームタイプ等に応じて、改変可能なパケットやフレーム数を制限できる。
代理改変処理装置11、またはゲートウェイ装置GTが繋がれた情報処理端末が不正に操作された場合、その端末が攻撃源となる可能性がある。しかし、代理改変処理装置11、またはゲートウェイ装置GTにおける代理改変処理部11に改変可能なパケット数やフレーム数の上限を設けた場合、想定しないパケットなど、通常の制御処理に使用しない通信を除外できる。
特に、同じパターンのパケットを大量に送りつける攻撃であるDoS攻撃に対して、非常に効果的である。
その他攻撃パケットの特徴パターンを定義し、そのパターンに合致したパケットは改変を加えないように設定することも可能である。
なお、以上の実施例の説明では既設の多様な情報処理端末に簡便に設置して試用することを想定しているが、計算機システム自体を新設する場合を想定するのであれば、代理改変処理装置11、代理復元処理装置12、改変モード制御装置13を予め情報処理端末内に構成しておくことも可能であることはうまでもない。この場合に、情報処理端末の同一筺体内、あるいは同一基板上にこの装置を配置することが可能である。また、ハード、ソフトいずれで構成してもよい。
なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施例は本発明を分かりやすく説明するために詳細に説明しているものであり、必ずしも説明したすべての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、またある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の一部について、他の構成の追加、削除、置換をすることが可能である。
また、上記の各構成、機能、処理部、処理手段などは、それらの一部または全部を、例えば集積回路で設計するなどによりハードウェアで実現してもよい。また、上記の各構成、機能などは、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイルなどの情報は、メモリやハードディスク、SSD(Solid State Drive)などの記録装置、またはICカード、SDカード、DVDなどの記録媒体に置くことができる。
また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしもすべての制御線や情報線を示しているとは限らない。実際にはほとんどすべての構成が相互に接続されていると考えてもよい。
11:代理改変処理装置
11a:改変モード切り替え手段
11b:改変処理部
12:代理復元処理装置
12a:改変モード切り替え手段
12b:改変検知手段
12c:フィルタリング部
12d:改変復元手段
13:改変モード制御装置
13a:振る舞い監視手段
13b:改変指令情報発信手段
CPU:情報処理端末
GT:ゲートウェイシステム
NW:ネットワーク
S:改変指令情報
X:悪意の攻撃源

Claims (40)

  1. ネットワークに接続され、ネットワークにおける悪意の攻撃を検知して改変指令情報をネットワークに発信する改変モード制御装置と、
    該改変モード制御装置からの前記改変指令情報を得て、情報処理端末からネットワークへ送信されるデータを前記改変指令情報に応じて改変する代理改変処理装置と、
    前記改変モード制御装置からの前記改変指令情報を得て、ネットワークから情報処理端末へ送られるデータについて前記改変指令情報を基に改変の有無を検査し、改変の有無に応じた処理を実行する代理復元処理装置を有し、
    前記改変モード制御装置がネットワークに送出する前記改変指令情報は、前記データを改変するときの改変ルールを複数供えており、選択した改変ルールを前記代理改変処理装置と前記代理復元処理装置に送出し、
    前記代理改変処理装置は前記改変指令情報に含まれる前記改変ルールに従ってデータの改変を実行し、
    前記代理復元処理装置は前記改変ルールに従って改変されたデータを改変前の状態に復元することを特徴とするゲートウェイシステム。
  2. ネットワークに接続され、ネットワークにおける悪意の攻撃を検知して改変指令情報をネットワークに発信する改変モード制御装置と、
    該改変モード制御装置からの前記改変指令情報を得て、情報処理端末からネットワークへ送信されるデータを前記改変指令情報に応じて改変する代理改変処理装置と、
    前記改変モード制御装置からの前記改変指令情報を得て、ネットワークから情報処理端末へ送られるデータについて前記改変指令情報を基に改変の有無を検査し、改変の有無に応じた処理を実行する代理復元処理装置を有し、
    前記改変モード制御装置がネットワークに送出する前記改変指令情報は、前記データを改変するときの改変ルールを含んでおり、
    前記代理改変処理装置は前記改変指令情報に含まれる前記改変ルールに従ってデータの改変を実行し、
    前記代理復元処理装置は前記改変ルールに従って改変されたデータを改変前の状態に復元するとともに、
    前記改変ルールとして、ネットワーク上で送受信される通信パケットのIPv4パケットのバージョン部をビット反転させる手法、IPアドレスを改変する手法、アドレスと他のヘッダ情報を組み合わせて利用する手法、ストリーム暗号を採用する手法のうちの少なくとも1つ以上の手法を用いていることを特徴とするゲートウェイシステム。
  3. 請求項1または請求項2に記載のゲートウェイシステムにおいて、
    前記代理改変処理装置は、前記ネットワークが正常である場合、前記情報処理端末から送信されるデータを、改変処理を行わず前記ネットワークへ転送する改変モード切替手段を有することを特徴とするゲートウェイシステム。
  4. 請求項1から請求項3のいずれか1項に記載のゲートウェイシステムにおいて、
    前記代理改変処理装置は、前記改変指令情報が複数の改変処理を組み合わせることで生成した改変処理手法をもって、前記情報処理端末から送信されるデータに改変を加える改変処理部を有することを特徴とするゲートウェイシステム。
  5. 請求項1から請求項4のいずれか1項に記載のゲートウェイシステムにおいて、
    前記代理復元処理装置は、検査すべきデータの位置情報を前記改変指令情報から抽出し、前記情報処理端末へ送られるデータを検査する改変検知手段を有することを特徴とするゲートウェイシステム。
  6. 請求項1から請求項5のいずれか1項に記載のゲートウェイシステムにおいて、
    前記代理復元処理装置は、前記情報処理端末へ送られるデータに対し、前記改変指令情報にて指定された改変を検知した場合、前記データを通過し、前記改変指令情報で指定された改変を確認できない場合、前記データを破棄するフィルタリング部と、
    前記フィルタリング部を前記データが通過した場合、前記改変指令情報にて指定された改変処理を適用する前の状態へ、前記データを復元する改変復元手段を有することを特徴とするゲートウェイシステム。
  7. 請求項1から請求項6のいずれか1項に記載のゲートウェイシステムにおいて、
    前記代理復元処理装置は、前記ネットワークが正常である場合、前記改変指令情報にて指定された改変の検知処理を実行することなく、前記データを前記情報処理端末へ転送する改変モード切替手段を有することを特徴とするゲートウェイシステム。
  8. 請求項1から請求項7のいずれか1項に記載のゲートウェイシステムにおいて、
    前記改変モード制御装置は、前記ネットワークの振舞いを監視し、通常と異なる通信挙動を検知した場合、警告を生成する振舞い監視手段と、
    前記振舞い監視手段の警告を検知した場合に、前記改変指令情報を生成し、前記改変指令情報を、一つまたは複数の前記代理改変処理装置および前記代理復元処理装置へ発信する改変指令情報発信手段を有することを特徴とするゲートウェイシステム。
  9. 請求項8記載のゲートウェイシステムおいて、
    前記改変指令情報発信手段は、改変処理手法の情報を複数含む改変指令情報を生成する手段を有することを特徴とするゲートウェイシステム。
  10. 請求項8記載のゲートウェイシステムにおいて、
    前記改変指令情報発信手段は、前記改変指令情報を所定の間隔で更新する手段と、
    更新された前記改変指令情報を発信することで、一つ以上の前記代理改変処理装置および一つ以上の前記代理復元処理装置が採用する改変処理の内容を更新する手段を有することを特徴とするゲートウェイシステム。
  11. 請求項10記載のゲートウェイシステムにおいて、
    一つ以上の前記代理改変処理装置および一つ以上の前記代理復元処理装置が採用する改変処理の内容を更新する時、更新する直前の改変処理内容を所定期間有効にする手段を有することを特徴とするゲートウェイシステム。
  12. 請求項1から請求項11のいずれか1項に記載のゲートウェイシステムにおいて、
    複数の前記改変モード制御装置が、前記ネットワーク内の一つ以上の前記代理改変処理装置および一つ以上の前記代理復元処理装置が採用する改変処理内容を統一する改変処理同期手段を有することを特徴とするゲートウェイシステム。
  13. 請求項12記載のゲートウェイシステムにおいて、
    複数の前記改変モード制御装置がそれぞれ発信する前記改変指令情報に、それぞれの前記改変モード制御装置の優先度情報を付加する手段と、
    前記優先度情報を用い、前記改変処理同期手段を統一する手段を有することを特徴とするゲートウェイシステム。
  14. 請求項12記載のゲートウェイシステムにおいて、
    複数の前記改変モード制御装置のうち、最も優先度が高い改変モード制御装置が前記ネットワーク内の一つ以上の前記代理改変処理装置および一つ以上の前記代理復元処理装置が採用する改変処理の内容を決定する手段を有することを特徴とするゲートウェイシステム。
  15. 請求項13または請求項14記載のゲートウェイシステムにおいて、
    複数の前記改変モード制御装置のうち、最も優先度が高い前記改変モード制御装置は、他の前記改変モード制御装置に対し、前記ネットワークの振舞いを監視する指令を送る手段と、
    前記指令を受けた前記改変モード制御装置は、前記ネットワークの振舞いを監視し、正常と異なる挙動を観測した場合、その情報を最も優先度が高い前記改変モード制御装置へ通知する手段を有することを特徴とするゲートウェイシステム。
  16. 請求項1から請求項15のいずれか1項に記載のゲートウェイシステムにおいて、
    前記代理改変処理装置は、前記情報処理端末から送信されるデータの属性値を基に、前記属性値ごとに改変処理を実行するデータ数を制限する手段を有することを特徴とするゲートウェイシステム。
  17. 請求項16に記載のゲートウェイシステムにおいて、
    前記属性値は、前記情報処理端末から送信されるデータの送信先アドレスと、受信アドレスと、ポート番号と、フレーム番号と、データパターンとのいずれか、もしくはそれら複数の組み合わせであることを特徴とするゲートウェイシステム。
  18. ネットワークで接続された複数の情報処理端末により構成された産業制御用の計算機システムであって、
    前記複数の情報処理端末は、請求項1から請求項17のいずれか1項に記載のゲートウェイシステムのうち、代理改変処理装置と代理復元処理装置を介して前記ネットワークに接続されており、ネットワーク上にすくなくとも1つの改変モード制御装置が接続されていることを特徴とする計算機システム。
  19. 2組の端子を備える専用ドングルに収納されたゲートウェイ装置であって、
    前記専用ドングル内に、ネットワークにおける悪意の攻撃を検知して改変指令情報をネットワークに発信する改変モード制御装置と、該改変モード制御装置からの前記改変指令情報を得て、情報処理端末からネットワークへ送信されるデータを前記改変指令情報に応じて改変する代理改変処理装置と、前記改変モード制御装置からの前記改変指令情報を得て、ネットワークから情報処理端末へ送られるデータについて前記改変指令情報を基に改変の有無を検査し、改変の有無に応じた処理を実行する代理復元処理装置を備え、
    前記2組の端子の一方を前記ネットワークに接続し、前記2組の端子の他方を前記情報処理端末に接続するように構成されているとともに、
    前記改変モード制御装置がネットワークに送出する前記改変指令情報は、前記データを改変するときの改変ルールを複数供えており、選択した改変ルールをネットワークに送出し、
    前記代理改変処理装置は前記改変指令情報に含まれる前記改変ルールに従ってデータの改変を実行し、
    前記代理復元処理装置は前記改変ルールに従って改変されたデータを改変前の状態に復元することを特徴とするゲートウェイ装置。
  20. ネットワークで接続された複数の情報処理端末により構成された産業制御用の計算機システムであって、
    前記複数の情報処理端末は、請求項19に記載の専用ドングルに収納されたゲートウェイ装置により前記ネットワークに接続されていることを特徴とする計算機システム。
  21. 情報処理端末とネットワークの間にそれぞれ接続されるゲートウェイ装置であって、
    各ゲートウェイ装置は、
    前記ネットワークにおける悪意の攻撃を検知して、改変指令情報を代理改変処理部および代理復元処理部へ通知する改変モード制御部と、
    前記情報処理端末から前記ネットワークへ送信されるデータを、前記改変指令情報に応じて改変する代理改変処理部と、
    前記ネットワークから前記情報処理端末へ送られるデータを、前記改変指令情報を基に改変の有無を検査し、改変の有無に応じた処理を実行する代理復元処理部を有し、
    前記改変モード制御部がネットワークに送出する前記改変指令情報は、前記データを改変するときの改変ルールを複数供えており、選択した改変ルールを前記代理改変処理部と前記代理復元処理部に送出し、
    前記代理改変処理部は前記改変指令情報に含まれる前記改変ルールに従ってデータの改変を実行し、
    前記代理復元処理部は前記改変ルールに従って改変されたデータを改変前の状態に復元することを特徴とするゲートウェイ装置。
  22. 請求項21記載のゲートウェイ装置において、
    前記改変モード制御部は、前記ネットワークに接続された他の前記ゲートウェイ装置へ前記改変指令情報を通知する手段と、
    他の前記ゲートウェイ装置から通知された前記改変指令情報を受信する手段を有することを特徴とするゲートウェイ装置。
  23. 請求項21または請求項22に記載のゲートウェイ装置において、
    前記代理改変処理部は、前記ネットワークが正常である場合、前記情報処理端末から送信されるデータを、改変処理を行わず前記ネットワークへ転送する改変モード切替手段を有することを特徴とするゲートウェイ装置。
  24. 請求項21から請求項23のいずれか1項に記載のゲートウェイ装置において、
    前記代理改変処理部は、前記改変指令情報が複数の改変処理手を組み合わせることで生成した改変処理手法をもって、前記情報処理端末から送信されるデータに改変を加える改変処理部を有することを特徴とするゲートウェイ装置。
  25. 請求項21から請求項23のいずれか1項に記載のゲートウェイ装置において、
    前記代理復元処理部は、検査すべきデータの位置情報を前記改変指令情報から抽出し、前記情報処理端末へ送られるデータを検査する改変検知手段を有することを特徴とするゲートウェイ装置。
  26. 請求項21から請求項25のいずれか1項に記載のゲートウェイ装置において、
    前記代理復元処理部は、前記情報処理端末へ送られるデータに対し、前記改変指令情報にて指定された改変を検知した場合、前記データを通過し、前記改変指令情報で指定された改変を確認できない場合、前記データを破棄するフィルタリング部と、
    前記フィルタリング部を前記データが通過した場合、前記改変指令情報にて指定された改変処理を適用する前の状態へ、前記データを復元する改変復元手段を有することを特徴とするゲートウェイ装置。
  27. 請求項21から請求項25のいずれか1項に記載のゲートウェイ装置において、
    前記代理復元処理部は、前記ネットワークが正常である場合、前記改変指令情報にて指定された改変の検知処理を実行することなく、前記データを前記情報処理端末へ転送する改変モード切替手段を有することを特徴とするゲートウェイ装置。
  28. 請求項21から請求項27のいずれか1項に記載のゲートウェイ装置において、
    前記改変モード制御部は、前記ネットワークの振舞いを監視し、通常と異なる通信挙動を検知した場合、警告を生成する振舞い監視手段と、
    前記振舞い監視手段の警告を検知した場合に、前記改変指令情報を生成し、前記改変指令情報を、一つまたは複数の前記代理改変処理部および前記代理復元処理部へ発信する改変指令情報発信手段を有することを特徴とするゲートウェイ装置。
  29. 請求項28に記載のゲートウェイ装置において、
    前記改変指令情報発信手段は、改変処理手法の情報を複数含む改変指令情報を生成する手段を有することを有することを特徴とするゲートウェイ装置。
  30. 請求項29に記載のゲートウェイ装置において、
    前記改変指令情報発信手段は、前記改変指令情報を所定の間隔で更新する手段と、
    更新された前記改変指令情報を発信することで、一つ以上の前記代理改変処理部および一つ以上の前記代理復元処理部が採用する改変処理の内容を更新する手段を有することを特徴とするゲートウェイ装置。
  31. 請求項30に記載のゲートウェイ装置において、
    一つ以上の前記代理改変処理部および一つ以上の前記代理復元処理部が採用する改変処理の内容を更新する時、更新する直前の改変処理内容を所定期間有効にする手段を有することを特徴とするゲートウェイ装置。
  32. 請求項21から請求項31のいずれか1項に記載のゲートウェイ装置において、
    複数の前記改変モード制御部が、前記ネットワーク内の一つ以上の前記代理改変処理部および一つ以上の前記代理復元処理部が採用する改変処理内容を統一する改変処理同期手段を有することを特徴とするゲートウェイ装置。
  33. 請求項32に記載のゲートウェイ装置において、
    複数の前記改変モード制御部がそれぞれ発信する前記改変指令情報に、それぞれの前記改変モード制御部の優先度情報を付加する手段と、
    前記優先度情報を用い、前記改変処理同期手段を統一する手段を有することを特徴とするゲートウェイ装置。
  34. 請求項33に記載のゲートウェイ装置において、
    複数の前記改変モード制御部のうち、最も優先度が高い改変モード制御部が前記ネットワーク内の一つ以上の前記代理改変処理部および一つ以上の前記代理復元処理部が採用する改変処理の内容を決定する手段を有することを特徴とするゲートウェイ装置。
  35. 請求項33または請求項34に記載のゲートウェイ装置において、
    複数の前記改変モード制御部のうち、最も優先度が高い前記改変モード制御部は、他の前記改変モード制御部に対し、前記ネットワークの振舞いを監視する指令を送る手段と、
    前記指令を受けた前記改変モード制御部は、前記ネットワークの振舞いを監視し、正常と異なる挙動を観測した場合、その情報を最も優先度が高い前記改変モード制御部へ通知する手段とを有することを特徴とするゲートウェイ装置。
  36. 請求項21から請求項35のいずれか1項に記載のゲートウェイ装置において、
    前記代理改変処理部は、前記情報処理端末から送信されるデータの属性値を基に、前記属性値ごとに改変処理を実行するデータ数を制限する手段を有することを特徴とするゲートウェイ装置。
  37. 請求項36に記載のゲートウェイ装置において、
    前記属性値は、前記情報処理端末から送信されるデータの送信先アドレスと、受信アドレスと、ポート番号と、フレーム番号と、データパターンとのいずれか、もしくはそれら複数の組み合わせであることを特徴とするゲートウェイ装置。
  38. 2組の端子を備える専用ドングルに収納されたゲートウェイ装置であって、
    前記専用ドングル内に、ネットワークに設けられ悪意の攻撃を検知して改変指令情報を発信する改変モード制御装置からの前記改変指令情報を得て、情報処理端末からネットワークへ送信されるデータを前記改変指令情報に応じて改変する代理改変処理装置と、前記改変モード制御装置からの前記改変指令情報を得て、ネットワークから情報処理端末へ送られるデータについて前記改変指令情報を基に改変の有無を検査し、改変の有無に応じた処理を実行する代理復元処理装置を備え、
    前記2組の端子の一方を前記ネットワークに接続し、前記2組の端子の他方を前記情報処理端末に接続するように構成されているとともに、
    前記改変モード制御装置がネットワークに送出する前記改変指令情報は、前記データを改変するときの改変ルールを複数供えており、選択した改変ルールがネットワークに送出されており、
    前記代理改変処理装置は前記改変指令情報に含まれる前記改変ルールに従ってデータの改変を実行し、
    前記代理復元処理装置は前記改変ルールに従って改変されたデータを改変前の状態に復元することを特徴とするゲートウェイ装置。
  39. ネットワークで接続された複数の情報処理端末により構成された産業制御用の計算機システムであって、
    前記複数の情報処理端末は、請求項38に記載の専用ドングルに収納されたゲートウェイ装置により前記ネットワークに接続されていることを特徴とする計算機システム。
  40. 通信を制御するマスタおよび複数のスレーブがリング状に接続されたリング型ネットワーク構成の計算機システムにおいて、
    前記マスタとスレーブの前記リング型ネットワークに接続する端子と前記リング型ネットワークに接続しない端子にゲートウェイ装置を設け、
    前記リング型ネットワークに接続しない端子に設けられたゲートウェイ装置が悪意の攻撃を検知して改変指令情報を発信し、
    前記マスタの前記リング型ネットワークに接続する受信側端子に設けられたゲートウェイ装置が前記改変指令情報を受信し、
    前記マスタの前記リング型ネットワークに接続する送信側端子に設けられたゲートウェイ装置がスレーブへ送信されるデータを前記改変指令情報に応じて改変し、
    前記スレーブは、前記改変指令情報を得て、前記スレーブへ送られるデータについて前記改変指令情報を基に改変の有無を検査し、改変の有無に応じた処理を実行するとともに、
    前記リング型ネットワークに接続しない端子に設けられたゲートウェイ装置がネットワークに送出する前記改変指令情報は、前記データを改変するときの改変ルールを複数供えており、選択した改変ルールをネットワークに送出し、
    前記マスタの前記リング型ネットワークに接続する送信側端子に設けられたゲートウェイ装置が前記改変指令情報に含まれる前記改変ルールに従ってデータの改変を実行し、
    前記スレーブは前記改変ルールに従って改変されたデータを改変前の状態に復元することを特徴とする計算機システム。
JP2012163485A 2012-07-24 2012-07-24 ゲートウェイ装置、ゲートウェイシステムおよび計算機システム Active JP5879223B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012163485A JP5879223B2 (ja) 2012-07-24 2012-07-24 ゲートウェイ装置、ゲートウェイシステムおよび計算機システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012163485A JP5879223B2 (ja) 2012-07-24 2012-07-24 ゲートウェイ装置、ゲートウェイシステムおよび計算機システム

Publications (2)

Publication Number Publication Date
JP2014023136A JP2014023136A (ja) 2014-02-03
JP5879223B2 true JP5879223B2 (ja) 2016-03-08

Family

ID=50197513

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012163485A Active JP5879223B2 (ja) 2012-07-24 2012-07-24 ゲートウェイ装置、ゲートウェイシステムおよび計算機システム

Country Status (1)

Country Link
JP (1) JP5879223B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6585019B2 (ja) 2016-09-13 2019-10-02 株式会社東芝 ネットワーク監視装置、ネットワークシステムおよびプログラム

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3836835B2 (ja) * 2003-11-18 2006-10-25 株式会社エヌ・ティ・ティ・ドコモ 通信システム、監視装置、エッジルータ及び通信方法
JP2007124258A (ja) * 2005-10-27 2007-05-17 Fujitsu Ltd ネットワーク中継プログラム、ネットワーク中継方法、ネットワーク中継装置および通信制御プログラム

Also Published As

Publication number Publication date
JP2014023136A (ja) 2014-02-03

Similar Documents

Publication Publication Date Title
US11363035B2 (en) Configurable robustness agent in a plant security system
JP6749106B2 (ja) 産業用通信ネットワークにおける異常検出、異常検出システム、及び異常検出を行う方法
US8584237B2 (en) Improper communication detection system
JP6258562B2 (ja) 中継装置、ネットワーク監視システム及びプログラム
JP6387195B2 (ja) 通信装置及びシステム及び方法
JP2007006054A (ja) パケット中継装置及びパケット中継システム
CN111869189A (zh) 网络探针和处理消息的方法
KR100947211B1 (ko) 능동형 보안 감사 시스템
JP2008092465A (ja) コンピュータ端末がネットワークに接続して通信することを管理・制御するための装置および方法。
EP2767057B1 (en) Process installation network intrusion detection and prevention
Januário et al. Security challenges in SCADA systems over Wireless Sensor and Actuator Networks
JP2008278357A (ja) 通信回線切断装置
JP6233414B2 (ja) 情報処理装置、フィルタリングシステム、フィルタリング方法、及びフィルタリングプログラム
KR101881061B1 (ko) 모드 변경이 가능한 양방향 통신 장치 및 방법
JP2003152806A (ja) 通信路のスイッチ接続制御システム
JP5879223B2 (ja) ゲートウェイ装置、ゲートウェイシステムおよび計算機システム
CN114326364B (zh) 用于高可用性工业控制器中的安全连接的系统和方法
US20240056421A1 (en) Gateway, Specifically for OT Networks
JP5402304B2 (ja) 診断プログラム、診断装置、診断方法
JP7028543B2 (ja) 通信システム
JP2019125914A (ja) 通信装置及びプログラム
JP2008141352A (ja) ネットワークセキュリティシステム
JP4421462B2 (ja) 不正侵入検知システムおよび管理装置
US10616094B2 (en) Redirecting flow control packets
JP7114769B2 (ja) 通信システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150209

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20151124

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20151201

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151228

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160126

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160201

R150 Certificate of patent or registration of utility model

Ref document number: 5879223

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150