JP5898024B2 - マルウェア検出装置および方法 - Google Patents
マルウェア検出装置および方法 Download PDFInfo
- Publication number
- JP5898024B2 JP5898024B2 JP2012208002A JP2012208002A JP5898024B2 JP 5898024 B2 JP5898024 B2 JP 5898024B2 JP 2012208002 A JP2012208002 A JP 2012208002A JP 2012208002 A JP2012208002 A JP 2012208002A JP 5898024 B2 JP5898024 B2 JP 5898024B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- virtual
- malware
- network
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、ネットワーク・セキュリティ技術に関し、特に制御システムに侵入したマルウェア(Malware)を検出するマルウェア検出技術に関する。
情報システムにおいて、ネットワークからPCへのマルウェアの不正侵入は、大きな社会問題となっている。マルウェアは、コンピュータウイルスやワームなど、悪意のあるプログラムや悪質なプログラムの総称である。このようなマルウェアは、PCへ不正侵入した後、そのPCを踏み台にして他のPCへ不正侵入することにより、活動範囲を拡大させるため、被害が大きくなることが多い。
従来、このような不正侵入への対策技術として、おとりサーバによる通信を監視して、その偵察行動に応じて新たなおとりサーバを構築するための構築用情報と、おとりサーバによる通信を新たなおとりサーバに導くための機器設定用情報とを生成し、構築用情報に基づいて不正侵入者に侵入させるおとりサーバを動的に構築するとともに、機器設定用情報に基づいておとりサーバによる通信をネットワークの外部に出さないように制御する技術が提案されている(例えば、特許文献1など参照)。
このような情報システムと同様に、プラントや建物設備の制御・監視・管理を行う制御システムにおいても、コンピュータでシステム化されているため、マルウェアの不正侵入への対策を講じて、システムのセキュリティ性を向上させる必要がある。
しかしながら、制御システムは、一般的な情報システムにはない、各種の制約があるため、情報システムと同様の対策を講じることができないという問題点があった。
しかしながら、制御システムは、一般的な情報システムにはない、各種の制約があるため、情報システムと同様の対策を講じることができないという問題点があった。
例えば、制御システムの各ノードを構成するPCは、各機器で得られた測定データに基づき新たな指示データを出力する処理を繰り返し実行しているため、十分な応答性を得るためには、測定データの取得に要する時間、すなわちスキャンタイムを短くする必要ある。したがって、情報システムと同様にして、アンチウィルスソフトを並行稼働させた場合には、処理遅延が発生してスキャンタイムが増大する恐れがあり、十分な応答性を確保できなくなる。
また、制御システムの各ノードを構成するPCは、24時間連続して稼働して設備を制御することが原則である。したがって、情報システムと同様のアンチウィルスソフトを制御システムのPCで用いる場合、アンチウィルスソフトのインストールや新たなマルウェアへの対応のための更新などを行う際に必要となる、PCの停止やリブートを行うことができない。
本発明はこのような課題を解決するためのものであり、制御システムの既存動作を損なうことなく、制御システムに侵入したマルウェアを検出できるマルウェア検出技術を提供することを目的としている。
このような目的を達成するために、本発明にかかるマルウェア検出装置は、システムネットワークを介して接続された複数のノードから構築されて、24時間連続して稼働して設備を制御する制御システムに対して、外部から侵入するマルウェアを検出するマルウェア検出装置であって、当該装置内部に設けた内部ネットワークに接続されて、前記マルウェアのアクセス対象となる仮想PCと、前記システムネットワークから受信した前記仮想PC宛てのパケットを、前記内部ネットワークを介して当該仮想PCへ転送するとともに、当該内部ネットワークを介して当該仮想PCから受信したレスポンスパケットを前記システムネットワークへ転送するルータ部と、前記内部ネットワークを介して前記ルータ部と前記仮想PCとの間でやり取りが想定される正当な各種パケットについて、当該パケットの発信元アドレスおよび/または実行コマンドが登録された想定リストを記憶する記憶部と、前記内部ネットワークを介して前記ルータ部と前記仮想PCとの間でやり取りされるパケットを取り込んで、当該パケットの発信元アドレスおよび/または実行コマンドを、前記記憶部の想定リストとを照合し、その照合結果に基づいて当該パケットによる不正アクセスの有無を検出する不正検出部とを備えている。
また、上記マルウェア検出装置の一構成例は、前記不正検出部が、前記内部ネットワークから取り込んだパケットの宛先が前記仮想PCである場合、または当該パケットが前記仮想PC宛てのパケットに対するレスポンスとして前記仮想PCから送信されたパケットである場合に、当該パケットのアクセス内容が前記想定リストと一致しない場合には、当該パケットが前記システムネットワークに接続された前記ノードに侵入したマルウェアからのものであると判定するようにしたものである。
また、上記マルウェア検出装置の一構成例は、前記不正検出部が、前記内部ネットワークから取り込んだパケットの宛先が前記仮想PCではなく、かつ、当該パケットが前記仮想PC宛てのパケットに対するレスポンスとして前記仮想PCから送信されたパケットではない場合に、当該パケットのアクセス内容が前記想定リストと一致しない場合には、当該パケットが前記仮想PCに侵入したマルウェアからのものであると判定するようにしたものである。
また、本発明にかかるマルウェア検出方法は、システムネットワークを介して接続された複数のノードから構築されて、24時間連続して稼働して設備を制御する制御システムに対して、外部から侵入するマルウェアを検出するマルウェア検出装置で用いられるマルウェア検出方法であって、ルータ部が、前記システムネットワークから受信した、前記マルウェアのアクセス対象となる仮想PC宛てのパケットを、当該装置内部に設けた内部ネットワークを介して当該仮想PCへ転送するとともに、当該内部ネットワークを介して当該仮想PCからレスポンス受信したパケットを前記システムネットワークへ転送するルータステップと、記憶部が、前記内部ネットワークを介して前記ルータ部と前記仮想PCとの間でやり取りが想定される正当な各種パケットについて、当該パケットの発信元アドレスおよび/または実行コマンドが登録された想定リストを記憶する記憶ステップと、不正検出部が、前記内部ネットワークを介して前記ルータ部と前記仮想PCとの間でやり取りされるパケットを取り込んで、当該パケットの発信元アドレスおよび/または実行コマンドを、前記記憶部の想定リストとを照合し、その照合結果に基づいて当該パケットによる不正アクセスの有無を検出する不正検出ステップとを備えている。
本発明によれば、制御システムの各ノードを構成するPCにおいて、アンチウィルスソフトを並行稼働させることなく、制御システムに侵入したマルウェアを検出することができる。このため、アンチウィルスソフトを並行稼働させた際に生じうる処理遅延の発生を回避でき、測定データの取得に要する時間、すなわちスキャンタイムの増大を抑制でき、設備制御において、十分な応答性を確保することが可能となる。また、アンチウィルスソフトのインストールや新たなマルウェアへの対応のための更新などを行う必要がなくなるため、PCの停止やリブートを行う必要がなくなり、24時間連続して稼働して設備を制御することができる。したがって、一般的な情報システムにはない、各種の制約がある制御システムについて、制御システムの既存動作を損なうことなく、制御システムに侵入したマルウェアを検出することが可能となる。
[発明の原理]
まず、本発明の原理について説明する。
24時間連続して稼働して設備を制御する制御システムでは、次のような制約がある。
まず、制御システムの各ノードを構成するPCは、各機器で得られた測定データに基づき新たな指示データを出力する処理を繰り返し実行しているため、十分な応答性を得るためには、測定データの取得に要する時間、すなわちスキャンタイムを短くする必要ある。したがって、このようなPCでアンチウィルスソフトを並行稼働させた場合には、処理遅延が発生してスキャンタイムが増大する恐れがあり、十分な応答性を確保できなくなる。
まず、本発明の原理について説明する。
24時間連続して稼働して設備を制御する制御システムでは、次のような制約がある。
まず、制御システムの各ノードを構成するPCは、各機器で得られた測定データに基づき新たな指示データを出力する処理を繰り返し実行しているため、十分な応答性を得るためには、測定データの取得に要する時間、すなわちスキャンタイムを短くする必要ある。したがって、このようなPCでアンチウィルスソフトを並行稼働させた場合には、処理遅延が発生してスキャンタイムが増大する恐れがあり、十分な応答性を確保できなくなる。
また、制御システムの各ノードを構成するPCは、24時間連続して稼働して設備を制御することが原則である。したがって、情報システムと同様のアンチウィルスソフトを制御システムのPCで用いる場合、アンチウィルスソフトのインストールや新たなマルウェアへの対応のための更新などを行う際に必要となる、PCの停止やリブートを行うことができない。
また、アンチウィルスソフトを用いた場合、新たなマルウェアに対応するため、アンチウィルスソフトのプログラムを、逐次、修正する必要があるが、PCの動作保証の観点から、このようなプログラムに対する修正を適用することは避ける必要がある。
また、PCのハードディスクに保存されている各種ファイルをスキャンして、マルウェアを検出する方法もあるが、PCの処理負担が増大するとともに、ハードディスクのアクセス速度が遅延するため、処理遅延が発生してスキャンタイムが増大する恐れがあり、十分な応答性を確保できなくなる。
また、PCのハードディスクに保存されている各種ファイルをスキャンして、マルウェアを検出する方法もあるが、PCの処理負担が増大するとともに、ハードディスクのアクセス速度が遅延するため、処理遅延が発生してスキャンタイムが増大する恐れがあり、十分な応答性を確保できなくなる。
一方、制御システムは、一般的な情報システムとは異なる特徴的なネットワーク構成を有している。
すなわち、システムネットワークに接続されている各ノードは、固定的なIPアドレスを有しており、動的に変化するものではない。また、インターネットへの接続が必須ではなく、外部ネットワークへの接続を遮断することが可能である。また、外部ネットワークからの限定的監視ニーズがあり、ファイアーウォールにより限定的に接続を許可することも可能である。
すなわち、システムネットワークに接続されている各ノードは、固定的なIPアドレスを有しており、動的に変化するものではない。また、インターネットへの接続が必須ではなく、外部ネットワークへの接続を遮断することが可能である。また、外部ネットワークからの限定的監視ニーズがあり、ファイアーウォールにより限定的に接続を許可することも可能である。
本発明は、前述した制御システムに特有の制約に加えて、このようなネットワーク構成上の特徴に着目し、ノードを構成するPCにアンチウィルスソフトをインストールせずに、システムネットワーク上でマルウェアによる不正アクセスを監視するものとし、この際、正当なアクセスをリスト化した想定リストで照合することにより、マルウェアによる不正アクセスを検出するようにしたものである。
[実施の形態]
次に、本発明の一実施の形態について図面を参照して説明する。
まず、図1を参照して、本実施の形態にかかるマルウェア検出装置10について説明する。図1は、マルウェア検出装置の構成を示すブロック図である。図2は、マルウェア検出装置の構成を示すブロック図である。
次に、本発明の一実施の形態について図面を参照して説明する。
まず、図1を参照して、本実施の形態にかかるマルウェア検出装置10について説明する。図1は、マルウェア検出装置の構成を示すブロック図である。図2は、マルウェア検出装置の構成を示すブロック図である。
このマルウェア検出装置10は、全体としてサーバ装置やPCなどの情報通信装置からなり、プラントや建物設備の制御・監視・管理を行う制御システム1のシステムネットワーク20に接続されて、制御システム1内へ不正侵入したマルウェアを検出する機能を有している。
ノードNDは、全体としてサーバ装置やPCなどの情報通信装置からなり、システムネットワーク20に接続されて、制御システム1における各種処理を行う機能を有している。
ゲートウェイ30は、全体として一般的なゲートウェイ装置からなり、システムネットワーク20と外部ネットワークNWとを中継接続する機能を有している。
ゲートウェイ30は、全体として一般的なゲートウェイ装置からなり、システムネットワーク20と外部ネットワークNWとを中継接続する機能を有している。
マルウェア検出装置10には、主な機能部として、ルータ部11、内部ネットワーク12、仮想PC13、不正検出部14、仮想PC記録部15、および記憶部16が設けられている。
ルータ部11は、専用の通信処理回路からなり、システムネットワーク20と内部ネットワーク12との間でやり取りされるパケットを制限して転送するファイアーウォール機能と、仮想PC13内の通信I/Fの動作を代理する機能とを有している。
このルータ部11は、代理ネットワークI/F部11Aとパケット転送制御部11Bとから構成されている。
このルータ部11は、代理ネットワークI/F部11Aとパケット転送制御部11Bとから構成されている。
代理ネットワークI/F部11Aは、システムネットワーク20とパケット転送制御部11Bとに接続されて、システムネットワーク20側から仮想PC13宛てのリクエストを示すパケットを受信して、パケット転送制御部11Bへ転送する機能と、当該リクエストへの応答に応じて仮想PC13から送信されてパケット転送制御部11Bで受信したパケットを、システムネットワーク20からリクエスト元へ転送する機能とを有している。
この代理ネットワークI/F部11Aは、システムネットワーク20と接続するための通信ポート11Xを有しており、この通信ポート11Xには、システムネットワーク20のIPアドレスやMACアドレスが割り当てられている。図2の例では、システムネットワーク20が「LAN2」として割り当てられており、IPアドレスとして「172.18.21.234」が割り当てられている。また、外部ネットワークNWへのパケット送信先となるゲートウェイGWとして、ゲートウェイ30の通信ポート30PのIPアドレス「172.18.21.2」が割り当てられている。
また、通信ポート11Xでは、仮想PC13で使用するポート番号と同じポート番号が使用可能な状態にオープンされている。図2の例では、使用可能なポート番号として「137」,「139」,「445」,〜,「135」がオープンされている。
また、通信ポート11Xでは、仮想PC13で使用するポート番号と同じポート番号が使用可能な状態にオープンされている。図2の例では、使用可能なポート番号として「137」,「139」,「445」,〜,「135」がオープンされている。
パケット転送制御部11Bは、代理ネットワークI/F部11Aと内部ネットワーク12とに接続されて、代理ネットワークI/F部11Aから転送された仮想PC13宛てのリクエストを示すパケットを、仮想PC13の通信ポート13Pのうち、代理ネットワークI/F部11Aで当該パケットを受信したポート番号と同じポート番号へ、内部ネットワーク12を介して転送する機能と、当該リクエストへの応答に応じて仮想PC13から送信されたパケットを内部ネットワーク12から受信し、代理ネットワークI/F部11Aへ転送する機能とを有している。
このパケット転送制御部11Bは、内部ネットワーク12と接続するための通信ポート16Pを有しており、この通信ポート16Pには、内部ネットワーク12のIPアドレスやMACアドレスが割り当てられている。図2の例では、内部ネットワーク12が「LAN1」として割り当てられており、IPアドレスとして「192.168.1.1」が割り当てられている。
また、パケット転送制御部11Bは、ルータとしての一般的な機能として、例えばパケット転送時にフィルタ情報に応じてパケットの転送/破棄を行う機能や、システムネットワーク20と内部ネットワーク12とのネットワークアドレス変換する機能を有している。
図3は、転送設定情報の構成例である。ここでは、外部ネットワークNWへのパケット送信先となるゲートウェイGW、代理ネットワークI/F部11Aの通信ポート11X、パケット転送制御部11Bの通信ポート11Yに関する各IPアドレスのほか、システムネットワーク20から仮想PC13へ転送するパケットの転送可否を示すフィルタ情報や、システムネットワーク20と内部ネットワーク12とのネットワークアドレス変換のためのNAT(Network Address Translation)情報が設定されている。
図3は、転送設定情報の構成例である。ここでは、外部ネットワークNWへのパケット送信先となるゲートウェイGW、代理ネットワークI/F部11Aの通信ポート11X、パケット転送制御部11Bの通信ポート11Yに関する各IPアドレスのほか、システムネットワーク20から仮想PC13へ転送するパケットの転送可否を示すフィルタ情報や、システムネットワーク20と内部ネットワーク12とのネットワークアドレス変換のためのNAT(Network Address Translation)情報が設定されている。
内部ネットワーク12は、マルウェア検出装置10の内部に設けられて、ルータ部11、仮想PC13、および不正検出部14が、内部ネットワーク12を介して相互にパケット通信可能に接続する機能を有している。
仮想PC13は、マルウェア検出装置10のコンピュータ(図示せず)により、メモリ上で仮想的に構築されて、マルウェアのアクセス対象となるPC(パーソナルコンピュータ)からなり、内部ネットワーク12と接続されて、パケット転送制御部11Bから内部ネットワーク12を介して受信したパケットに含まれるリクエストの実行コマンドに応じた処理を実行する機能と、この処理で得られた内容を含む応答を示すパケットを内部ネットワーク12を介してパケット転送制御部11Bへ送信する機能とを有している。
このパケット転送制御部11Bは、内部ネットワーク12と接続するための通信ポート13Pを有しており、この通信ポート13Pには、内部ネットワーク12のIPアドレスやMACアドレスが割り当てられている。また、通信ポート13Pには、仮想PC13で使用するポート番号が使用可能な状態に設定されている。図2の例では、IPアドレスとして「192.168.1.180」が割り当てられている。また、外部ネットワークNWへのパケット送信先となるゲートウェイGWとして、パケット転送制御部11Bの通信ポート11YのIPアドレス「192.168.1.1」が割り当てられている。
また、通信ポート13Pでは、いくつかのポート番号が使用可能な状態にオープンされている。図2の例では、使用可能なポート番号として「137」,「139」,「445」,〜,「135」がオープンされている。
また、通信ポート13Pでは、いくつかのポート番号が使用可能な状態にオープンされている。図2の例では、使用可能なポート番号として「137」,「139」,「445」,〜,「135」がオープンされている。
不正検出部14は、内部ネットワーク12に接続されて、パケット転送制御部11Bと仮想PC13との間でやり取りされるパケットを取り込んで、当該パケットの発信元アドレスや実行コマンドを確認することにより当該パケットのアクセス内容を分析する機能と、得られたアクセス内容の発信元アドレスおよび/または実行コマンドが、後述する記憶部16の想定リスト16Aに登録されているか否かに基づいて、当該パケットが不正アクセスであるか否かを判定する機能とを有している。
また、不正検出部14は、当該パケットが仮想PC13宛てのパケットまたは仮想PC13宛てのパケットに対するレスポンスである場合には、当該不正アクセスがシステムネットワーク20上のノードNDに侵入したマルウェアによるものと判定する機能と、当該パケットが仮想PC13宛てのパケットおよび仮想PC13宛てのパケットに対するレスポンスでない場合には、当該不正アクセスが仮想PC13に侵入したマルウェアによる可能性があると判定する機能と、これら不正アクセスに対応するパケットと判定結果とを含む不正検出結果16Bを記憶部16に記録する機能とを有している。
仮想PC記録部15は、不正検出部14において仮想PC13へのマルウェア侵入の可能性があると判定された場合には、仮想PC13の動作状態を示す不正イメージデータ16Cをを記憶部16に記録する機能とを有している。
記憶部16は、ハードディスクや半導体メモリからなり、各機能部での処理動作に用いる各種処理情報やプログラムを記憶する機能を有している。
記憶部16で記憶する処理情報として、想定リスト16A、不正検出結果16B、および不正イメージデータ16Cがある。
図4は、想定リストの構成例である。想定リスト16Aは、内部ネットワーク12でのやり取りが想定される、正常なパケットのアクセス内容を示すリストである。ここでは、パケットの特徴を示す、発信元アドレス、実行コマンドなどの属性情報からなる組がエントリとしてそれぞれ登録されている。
記憶部16で記憶する処理情報として、想定リスト16A、不正検出結果16B、および不正イメージデータ16Cがある。
図4は、想定リストの構成例である。想定リスト16Aは、内部ネットワーク12でのやり取りが想定される、正常なパケットのアクセス内容を示すリストである。ここでは、パケットの特徴を示す、発信元アドレス、実行コマンドなどの属性情報からなる組がエントリとしてそれぞれ登録されている。
不正検出結果16Bは、不正検出部14で検出した不正アクセスの内容を示す情報である。例えば、システムネットワーク20上のノードNDに侵入したマルウェアからの不正アクセスについては、当該不正アクセスが検出されたパケットのパケットデータとその判定結果が、不正検出結果16Bとして記録される。
不正イメージデータ16Cは、マルウェアが侵入した可能性がある仮想PC13の動作状態を示すメモリイメージであり、仮想PC13にマルウェアが侵入している場合には、そのマルウェアの検体を含んでいる。
不正イメージデータ16Cは、マルウェアが侵入した可能性がある仮想PC13の動作状態を示すメモリイメージであり、仮想PC13にマルウェアが侵入している場合には、そのマルウェアの検体を含んでいる。
マルウェア検出装置10における機能部のうち、仮想PC13、不正検出部14、および仮想PC記録部15は、CPU(図示せず)が記憶部16からプログラム(図示せず)を読み出して実行してなる演算処理部により実現される。このプログラムは、外部装置や記録媒体(ともに図示せず)に予め保存されており、マルウェア検出装置10の記憶部16に転送されて格納される。
[実施の形態の動作]
次に、図5および図6を参照して、本実施の形態にかかるマルウェア検出装置10の動作について説明する。図5は、代理ネットワークI/F部およびパケット転送制御部のパケット転送処理を示すフローチャートである。図6は、不正検出部および仮想PC記録部の不正アクセス検出処理を示すフローチャートである。
次に、図5および図6を参照して、本実施の形態にかかるマルウェア検出装置10の動作について説明する。図5は、代理ネットワークI/F部およびパケット転送制御部のパケット転送処理を示すフローチャートである。図6は、不正検出部および仮想PC記録部の不正アクセス検出処理を示すフローチャートである。
代理ネットワークI/F部11Aにおいて、システムネットワーク20から通信ポート11Xでパケットaが受信された際、図5に示すパケット転送処理が開始される。
まず、代理ネットワークI/F部11Aは、受信したパケットaがARP(Address Resolution Protocol)パケットか否か判定する(ステップ100)。ARPは、IPアドレスからMACアドレスを知るためのプロトコルである。
まず、代理ネットワークI/F部11Aは、受信したパケットaがARP(Address Resolution Protocol)パケットか否か判定する(ステップ100)。ARPは、IPアドレスからMACアドレスを知るためのプロトコルである。
ここで、パケットaがARPパケットである場合(ステップ100:YES)、代理ネットワークI/F部11Aは、ARP処理に応じて当該パケットaを代理で応答し(ステップ101)、一連のパケット転送処理を終了する。
一方、パケットaがARPパケットでない場合(ステップ100:NO)、代理ネットワークI/F部11Aは、パケットaをパケット転送制御部11Bへ渡す(ステップ102)。
一方、パケットaがARPパケットでない場合(ステップ100:NO)、代理ネットワークI/F部11Aは、パケットaをパケット転送制御部11Bへ渡す(ステップ102)。
パケット転送制御部11Bは、代理ネットワークI/F部11Aから受け取ったパケットaを、仮想PC13の通信ポート13Pのうち、代理ネットワークI/F部11Aの通信ポート11Xで当該パケットを受信したポート番号mと同じポート番号mへ、内部ネットワーク12を介して転送する(ステップ110)。
また、パケット転送制御部11Bは、パケットaのポート番号mを記憶しておく(ステップ111)。
また、パケット転送制御部11Bは、パケットaのポート番号mを記憶しておく(ステップ111)。
この後、パケット転送制御部11Bは、仮想PC13から送信されたパケットbを、通信ポート11Yで受信し(ステップ112)、パケットbが、仮想PC13の通信ポート13Pのうち、ポート番号mから送信されたパケットaに対する応答パケットか否か確認する(ステップ113)。
ここで、パケットbがポート番号mからの応答パケットである場合(ステップ113:YES)、パケット転送制御部11Bは、パケットbを代理ネットワークI/F部11Aへ渡す(ステップ114)。
ここで、パケットbがポート番号mからの応答パケットである場合(ステップ113:YES)、パケット転送制御部11Bは、パケットbを代理ネットワークI/F部11Aへ渡す(ステップ114)。
代理ネットワークI/F部11Aは、パケット転送制御部11Bから受け取ったパケットbを、通信ポート11Xのポート番号mからシステムネットワーク20へ送信し(ステップ103)、一連のパケット転送処理を終了する。
一方、パケットbがポート番号mからの応答パケットでない場合(ステップ113:NO)、パケット転送制御部11Bは、パケットbを破棄し(ステップ115)、一連のパケット転送処理を終了する。
一方、パケットbがポート番号mからの応答パケットでない場合(ステップ113:NO)、パケット転送制御部11Bは、パケットbを破棄し(ステップ115)、一連のパケット転送処理を終了する。
また、内部ネットワーク12を介してパケット転送制御部11Bと仮想PC13との間でパケットcがやり取りされた場合、図6の不正アクセス検出処理が開始される。
まず、不正検出部14は、内部ネットワーク12から取り込んだパケットcの宛先を確認する(ステップ120)。
まず、不正検出部14は、内部ネットワーク12から取り込んだパケットcの宛先を確認する(ステップ120)。
ここで、パケットcの宛先が仮想PC13である場合(ステップ120:YES)、不正検出部14は、パケットcの発信元アドレスや実行コマンドを確認することにより当該パケットのアクセス内容を分析し(ステップ121)、得られたアクセス内容の発信元アドレスおよび/または実行コマンドが、予め設定されている想定リスト16Aに登録されているか否か確認する(ステップ122)。
この際、パケットcのアクセス内容が想定リスト16Aに登録されている場合(ステップ122:NO)、不正検出部14は、一連の不正アクセス検出処理を終了する。
一方、パケットcのアクセス内容が想定リスト16Aに登録されていない場合(ステップ122:YES)、不正検出部14は、当該パケットcによるアクセスを、システムネットワーク20上のノードNDからの不正アクセスであると判定し(ステップ123)、パケットcと判定結果を含む不正検出結果16Bを記憶部16に記録し(ステップ124)、一連の不正アクセス検出処理を終了する。
一方、パケットcのアクセス内容が想定リスト16Aに登録されていない場合(ステップ122:YES)、不正検出部14は、当該パケットcによるアクセスを、システムネットワーク20上のノードNDからの不正アクセスであると判定し(ステップ123)、パケットcと判定結果を含む不正検出結果16Bを記憶部16に記録し(ステップ124)、一連の不正アクセス検出処理を終了する。
不正検出結果16Bについては、記憶部16に記録する以外に、マルウェア検出装置10の画面表示部(図示せず)に表示してもよく、システムネットワーク20に接続されている監視装置(図示せず)に転送して、制御システム1の運転員に通知するようにしてもよい。
また、ステップ120において、パケットcの宛先が仮想PC13でない場合(ステップ120:NO)、不正検出部14は、パケットcが仮想PC13宛てのパケットに対するレスポンスとして、仮想PC13からパケット転送制御部11Bへ送信されたパケットか否か確認する(ステップ125)。
ここで、パケットcが上記レスポンスのパケットである場合(ステップ125:YES)、前述したステップ121へ移行する。
ここで、パケットcが上記レスポンスのパケットである場合(ステップ125:YES)、前述したステップ121へ移行する。
一方、パケットcが上記レスポンスのパケットでない場合(ステップ125:NO)、不正検出部14は、パケットcの発信元アドレスや実行コマンドを確認することにより当該パケットのアクセス内容を分析し(ステップ126)、得られたアクセス内容の発信元アドレスおよび/または実行コマンドが、予め設定されている想定リスト16Aに登録されているか否か確認する(ステップ127)。
この際、パケットcのアクセス内容が想定リスト16Aに登録されている場合(ステップ127:NO)、不正検出部14は、一連の不正アクセス検出処理を終了する。
一方、パケットcのアクセス内容が想定リスト16Aに登録されていない場合(ステップ127:YES)、不正検出部14は、当該パケットcのアクセスにより、仮想PCにマルウェア侵入の可能性があると判定し(ステップ128)、パケットcと判定結果を含む不正検出結果16Bを記憶部16に記録し(ステップ129)、一連の不正アクセス検出処理を終了する。
一方、パケットcのアクセス内容が想定リスト16Aに登録されていない場合(ステップ127:YES)、不正検出部14は、当該パケットcのアクセスにより、仮想PCにマルウェア侵入の可能性があると判定し(ステップ128)、パケットcと判定結果を含む不正検出結果16Bを記憶部16に記録し(ステップ129)、一連の不正アクセス検出処理を終了する。
また、仮想PC記録部15は、不正検出部14における、仮想PC13へのマルウェア侵入の可能性ありの判定に応じて、仮想PC13の動作状態を示すメモリイメージを取得し(ステップ130)、不正イメージデータ16Cとして記憶部16に記録し(ステップ131)、一連の不正アクセス検出処理を終了する。
[実施の形態の効果]
このように、本実施の形態は、ルータ部11Bが、システムネットワーク20から受信した仮想PC13宛てのパケットを、内部ネットワーク12を介して当該仮想PC13へ転送するとともに、当該内部ネットワーク12を介して当該仮想PC13から受信したパケットをシステムネットワーク20へ転送し、記憶部16が、内部ネットワーク12を介してルータ部11と仮想PC13との間でやり取りが想定される正当な各種パケットについて、当該パケットの発信元アドレスおよび/または実行コマンドが登録された想定リスト16Aを記憶し、不正検出部14が、内部ネットワーク12を介してルータ部11と仮想PC13との間でやり取りされるパケットを取り込んで、当該パケットの発信元アドレスおよび/または実行コマンドを、想定リスト16Aとを照合し、その照合結果に基づいて当該パケットによる不正アクセスの有無を検出するようにしたものである。
このように、本実施の形態は、ルータ部11Bが、システムネットワーク20から受信した仮想PC13宛てのパケットを、内部ネットワーク12を介して当該仮想PC13へ転送するとともに、当該内部ネットワーク12を介して当該仮想PC13から受信したパケットをシステムネットワーク20へ転送し、記憶部16が、内部ネットワーク12を介してルータ部11と仮想PC13との間でやり取りが想定される正当な各種パケットについて、当該パケットの発信元アドレスおよび/または実行コマンドが登録された想定リスト16Aを記憶し、不正検出部14が、内部ネットワーク12を介してルータ部11と仮想PC13との間でやり取りされるパケットを取り込んで、当該パケットの発信元アドレスおよび/または実行コマンドを、想定リスト16Aとを照合し、その照合結果に基づいて当該パケットによる不正アクセスの有無を検出するようにしたものである。
これにより、制御システムの各ノードを構成するPCにおいて、アンチウィルスソフトを並行稼働させることなく、制御システムに侵入したマルウェアを検出することができる。このため、アンチウィルスソフトを並行稼働させた際に生じうる処理遅延の発生を回避でき、測定データの取得に要する時間、すなわちスキャンタイムの増大を抑制でき、設備制御において、十分な応答性を確保することが可能となる。また、アンチウィルスソフトのインストールや新たなマルウェアへの対応のための更新などを行う必要がなくなるため、PCの停止やリブートを行う必要がなくなり、24時間連続して稼働して設備を制御することができる。
したがって、本発明によれば、一般的な情報システムにはない、各種の制約がある制御システムについて、制御システムの既存動作を損なうことなく、制御システムに侵入したマルウェアを検出することが可能となる。
したがって、本発明によれば、一般的な情報システムにはない、各種の制約がある制御システムについて、制御システムの既存動作を損なうことなく、制御システムに侵入したマルウェアを検出することが可能となる。
また、本実施の形態では、不正検出部14が、内部ネットワーク12から取り込んだパケットの宛先が仮想PC13である場合、または当該パケットが仮想PC13宛てのパケットに対するレスポンスとして仮想PC13から送信されたパケットである場合に、当該パケットのアクセス内容が想定リスト16Aと一致しない場合には、当該パケットがシステムネットワーク20に接続されたノードNDに侵入したマルウェアからのものであると判定するようにしたものである。
これにより、マルウェアがノードNDに侵入した場合、その侵入した箇所を特定することができる。
これにより、マルウェアがノードNDに侵入した場合、その侵入した箇所を特定することができる。
また、本実施の形態は、不正検出部14が、内部ネットワーク12から取り込んだパケットの宛先が仮想PC13ではなく、かつ、当該パケットが仮想PC13宛てのパケットに対するレスポンスとして仮想PC13から送信されたパケットではない場合に、当該パケットのアクセス内容が想定リスト16Aと一致しない場合には、当該パケットが仮想PC13に侵入したマルウェアからのものであると判定するようにしたものである。
これにより、マルウェアが仮想PC13に侵入した場合、仮想PC13の動作状態を示す不正イメージデータ16Cの保存によりマルウェアの検体を確保できる。
これにより、マルウェアが仮想PC13に侵入した場合、仮想PC13の動作状態を示す不正イメージデータ16Cの保存によりマルウェアの検体を確保できる。
[実施の形態の拡張]
以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しうる様々な変更をすることができる。
以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しうる様々な変更をすることができる。
1…制御システム、10…マルウェア検出装置、11…ルータ部、11A…代理ネットワークI/F部、11B…パケット転送制御部、11X,11Y…通信ポート、12…内部ネットワーク、13…仮想PC、13P…通信ポート、14…不正検出部、15…仮想PC記録部、16…記憶部、16A…想定リスト、16B…不正検出結果、16C…不正イメージデータ、20…システムネットワーク、30…ゲートウェイ、30P…通信ポート、ND…ノード、NW…外部ネットワーク。
Claims (4)
- システムネットワークを介して接続された複数のノードから構築されて、24時間連続して稼働して設備を制御する制御システムに対して、外部から侵入するマルウェアを検出するマルウェア検出装置であって、
当該装置内部に設けた内部ネットワークに接続されて、前記マルウェアのアクセス対象となる仮想PCと、
前記システムネットワークから受信した前記仮想PC宛てのパケットを、前記内部ネットワークを介して当該仮想PCへ転送するとともに、当該内部ネットワークを介して当該仮想PCから受信したレスポンスパケットを前記システムネットワークへ転送するルータ部と、
前記内部ネットワークを介して前記ルータ部と前記仮想PCとの間でやり取りが想定される正当な各種パケットについて、当該パケットの発信元アドレスおよび/または実行コマンドが登録された想定リストを記憶する記憶部と、
前記内部ネットワークを介して前記ルータ部と前記仮想PCとの間でやり取りされるパケットを取り込んで、当該パケットの発信元アドレスおよび/または実行コマンドを、前記記憶部の想定リストとを照合し、その照合結果に基づいて当該パケットによる不正アクセスの有無を検出する不正検出部と
を備えることを特徴とするマルウェア検出装置。 - 請求項1に記載のマルウェア検出装置において、
前記不正検出部は、前記内部ネットワークから取り込んだパケットの宛先が前記仮想PCである場合、または当該パケットが前記仮想PC宛てのパケットに対するレスポンスとして前記仮想PCから送信されたパケットである場合に、当該パケットのアクセス内容が前記想定リストと一致しない場合には、当該パケットが前記システムネットワークに接続された前記ノードに侵入したマルウェアからのものであると判定することを特徴とするマルウェア検出装置。 - 請求項1または請求項2に記載のマルウェア検出装置において、
前記不正検出部は、前記内部ネットワークから取り込んだパケットの宛先が前記仮想PCではなく、かつ、当該パケットが前記仮想PC宛てのパケットに対するレスポンスとして前記仮想PCから送信されたパケットではない場合に、当該パケットのアクセス内容が前記想定リストと一致しない場合には、当該パケットが前記仮想PCに侵入したマルウェアからのものであると判定することを特徴とするマルウェア検出装置。 - システムネットワークを介して接続された複数のノードから構築されて、24時間連続して稼働して設備を制御する制御システムに対して、外部から侵入するマルウェアを検出するマルウェア検出装置で用いられるマルウェア検出方法であって、
ルータ部が、前記システムネットワークから受信した、前記マルウェアのアクセス対象となる仮想PC宛てのパケットを、当該装置内部に設けた内部ネットワークを介して当該仮想PCへ転送するとともに、当該内部ネットワークを介して当該仮想PCから受信したレスポンスパケットを前記システムネットワークへ転送するルータステップと、
記憶部が、前記内部ネットワークを介して前記ルータ部と前記仮想PCとの間でやり取りが想定される正当な各種パケットについて、当該パケットの発信元アドレスおよび/または実行コマンドが登録された想定リストを記憶する記憶ステップと、
不正検出部が、前記内部ネットワークを介して前記ルータ部と前記仮想PCとの間でやり取りされるパケットを取り込んで、当該パケットの発信元アドレスおよび/または実行コマンドを、前記記憶部の想定リストとを照合し、その照合結果に基づいて当該パケットによる不正アクセスの有無を検出する不正検出ステップと
を備えることを特徴とするマルウェア検出方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012208002A JP5898024B2 (ja) | 2012-09-21 | 2012-09-21 | マルウェア検出装置および方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012208002A JP5898024B2 (ja) | 2012-09-21 | 2012-09-21 | マルウェア検出装置および方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014063349A JP2014063349A (ja) | 2014-04-10 |
| JP5898024B2 true JP5898024B2 (ja) | 2016-04-06 |
Family
ID=50618525
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012208002A Active JP5898024B2 (ja) | 2012-09-21 | 2012-09-21 | マルウェア検出装置および方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5898024B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE112017005360T5 (de) | 2016-10-24 | 2019-07-25 | Panasonic Intellectual Property Management Co., Ltd. | Produktherstellungssystem, malware-erkennungssystem, produktherstellungsverfahren und malware-erkennungsverfahren |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101732972B1 (ko) | 2015-11-30 | 2017-05-08 | 인하대학교 산학협력단 | 씨앤씨 제우스의 윈도우 api후킹 및 패킷 길이에 기반한 탐지 방법 |
| US10764755B2 (en) * | 2017-09-07 | 2020-09-01 | 802 Secure, Inc. | Systems and methods for providing wireless access security by interrogation |
| JP6911723B2 (ja) * | 2017-11-16 | 2021-07-28 | 富士通株式会社 | ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5548095B2 (ja) * | 2010-10-26 | 2014-07-16 | 日本電信電話株式会社 | 仮想制御プログラム、情報処理装置及び仮想制御方法 |
-
2012
- 2012-09-21 JP JP2012208002A patent/JP5898024B2/ja active Active
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE112017005360T5 (de) | 2016-10-24 | 2019-07-25 | Panasonic Intellectual Property Management Co., Ltd. | Produktherstellungssystem, malware-erkennungssystem, produktherstellungsverfahren und malware-erkennungsverfahren |
| US11226612B2 (en) | 2016-10-24 | 2022-01-18 | Panasonic Intellectual Property Management Co., Ltd. | Product manufacturing system, malware detection system, product manufacturing method, and malware detection method |
| US11782420B2 (en) | 2016-10-24 | 2023-10-10 | Panasonic Intellectual Property Management Co., Ltd. | Malware detection system |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2014063349A (ja) | 2014-04-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11843666B2 (en) | Sub-networks based security method, apparatus and product | |
| US10812521B1 (en) | Security monitoring system for internet of things (IOT) device environments | |
| US20200366694A1 (en) | Methods and systems for malware host correlation | |
| EP3127301B1 (en) | Using trust profiles for network breach detection | |
| US10567411B2 (en) | Dynamically adapted traffic inspection and filtering in containerized environments | |
| US10693899B2 (en) | Traffic enforcement in containerized environments | |
| EP3014813B1 (en) | Rootkit detection by using hardware resources to detect inconsistencies in network traffic | |
| JP6994123B2 (ja) | コンテナネットワークのためのセキュリティ | |
| US11303673B1 (en) | System and method for preventing lateral propagation of ransomware using a security appliance that functions as a DHCP relay on a shared network | |
| JP4327698B2 (ja) | ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム | |
| US20120005743A1 (en) | Internal network management system, internal network management method, and program | |
| JP5920169B2 (ja) | 不正コネクション検出方法、ネットワーク監視装置及びプログラム | |
| Martin et al. | Fending off IoT-hunting attacks at home networks | |
| JP5898024B2 (ja) | マルウェア検出装置および方法 | |
| US8272041B2 (en) | Firewall control via process interrogation | |
| JP2017204721A (ja) | セキュリティシステム | |
| JP6738013B2 (ja) | 攻撃内容分析プログラム、攻撃内容分析方法及び攻撃内容分析装置 | |
| US8375435B2 (en) | Host trust report based filtering mechanism in a reverse firewall | |
| JP6943313B2 (ja) | ログ解析システム、解析装置、方法、および解析用プログラム | |
| JP2019152912A (ja) | 不正通信対処システム及び方法 | |
| JP2008011008A (ja) | 不正アクセス防止システム | |
| JP2022094354A (ja) | マルウェア検出のためのコンテキストプロファイリング | |
| US20170085586A1 (en) | Information processing device, communication history analysis method, and medium | |
| JP5548095B2 (ja) | 仮想制御プログラム、情報処理装置及び仮想制御方法 | |
| US20230319075A1 (en) | Network access control from anywhere |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150507 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160120 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160301 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160303 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5898024 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |