JP6310874B2 - インシデント検知システム - Google Patents
インシデント検知システム Download PDFInfo
- Publication number
- JP6310874B2 JP6310874B2 JP2015049851A JP2015049851A JP6310874B2 JP 6310874 B2 JP6310874 B2 JP 6310874B2 JP 2015049851 A JP2015049851 A JP 2015049851A JP 2015049851 A JP2015049851 A JP 2015049851A JP 6310874 B2 JP6310874 B2 JP 6310874B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- gateway device
- detection system
- unit
- incident detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
また、S806において、ログ情報は毎回送信する必要はなく、ある程度のログ情報が蓄積された後にまとめて管理サーバに送信してもよい。
Claims (14)
- セキュリティインシデントを検知するインシデント検知システムであって、
ゲートウェイ装置は、
自ゲートウェイ装置の識別情報を生成するID生成部と、
制御装置から送信された制御情報と、通信パケットに前記自ゲートウェイ装置の識別情報を付与した経路情報と、を含む検知パケットを生成する検知パケット生成部と、
前記検知パケットを含むログ情報を生成するログ生成部と、
前記ゲートウェイ装置にネットワークで接続された管理サーバに前記ログ情報を送信し、または前記制御情報に基づいて制御される制御装置に前記検知パケットを送信する装置通信部と、を備え、
前記管理サーバは、
前記ゲートウェイ装置から前記ログ情報を受信するサーバ通信部と、
前記ログ情報から前記経路情報を抽出した想定経路情報をあらかじめ記憶部に記憶する通信経路抽出部と、
前記記憶部に記憶されている前記想定経路情報と、前記ログ情報に含まれる前記経路情報とに基づいて、不正な通信パケットを検知するインシデント検知部と、
を備えることを特徴とするインシデント検知システム。 - 請求項1に記載のインシデント検知システムであって、
前記ゲートウェイ装置は、
さらに、秘密情報を格納する秘密情報格納部を備え、
前記ID生成部は、前記ゲートウェイ装置に固有の識別情報と前記秘密情報とに基づいて、前記自ゲートウェイ装置の識別情報を生成する、
ことを特徴とするインシデント検知システム。 - 請求項2に記載のインシデント検知システムであって、
前記ゲートウェイ装置は、
さらに、前記ゲートウェイ装置の動作モードを、処理の事前準備をするモードである初期化モード、前記想定経路情報を収集するための経路収集モード、前記経路情報を検知するモードである検知モード、のいずれかのモードにする装置モード変更部を備え、
前記管理サーバは、
さらに、前記管理サーバの動作モードを、前記初期化モードと、前記経路収集モードと、前記検知モードと、のいずれかのモードにするサーバモード変更部と、前記秘密情報を生成する秘密情報生成部とを備え、
前記ID生成部は、前記管理サーバから受信した前記秘密情報を前記秘密情報格納部に格納し、
前記秘密情報生成部は、前記ゲートウェイ装置および前記管理サーバが前記初期化モードの場合に前記秘密情報を生成し、前記サーバ通信部は、生成された前記秘密情報を前記ゲートウェイ装置に送信し、
前記通信経路抽出部は、前記ゲートウェイ装置および前記管理サーバが前記経路収集モードの場合に前記想定経路情報を抽出し、
前記インシデント検知部は、前記ゲートウェイ装置および前記管理サーバが前記検知モードの場合に前記不正な通信パケットを検知する、
ことを特徴とするインシデント検知システム。 - 請求項3に記載のインシデント検知システムであって、
前記管理サーバは、
さらに、前記ゲートウェイ装置のリストを格納するゲートウェイリスト格納部を備え、
前記秘密情報生成部は、新たなゲートウェイ装置が追加された場合に、前記新たなゲートウェイ装置に前記秘密情報を送信し、前記新たなゲートウェイ装置の識別情報を前記リストに追加する、
ことを特徴とするインシデント検知システム。 - 請求項4に記載のインシデント検知システムであって、
前記秘密情報生成部は、前記ゲートウェイ装置の状態を確認するため状態確認コマンドに対する応答情報に基づいて、前記インシデント検知システムから取り外されたゲートウェイ装置を認識し、前記想定経路情報から前記取り外されたゲートウェイ装置の識別情報が含まれている想定経路情報を削除し、前記ゲートウェイリストから前記取り外されたゲートウェイ装置の識別情報を削除する、
ことを特徴とするインシデント検知システム。 - 請求項1〜5のいずれか一に記載のインシデント検知システムであって、
前記検知パケットは、ヘッダ部とデータ部とを有し、
前記検知パケット生成部は、前記ヘッダ部に前記経路情報を含めて前記検知パケットを生成する、
ことを特徴とするインシデント検知システム。 - 請求項1〜6のいずれか一に記載のインシデント検知システムであって、
前記検知パケット生成部は、前記通信パケットが通過する都度、前記ゲートウェイ装置の通過順に、前記自ゲートウェイ装置の識別情報を前記経路情報に付与する、
ことを特徴とするインシデント検知システム。 - 請求項1〜7のいずれか一に記載のインシデント検知システムであって、
前記通信経路抽出部は、正当な通信パケットが経由するゲートウェイ装置の識別情報から前記想定経路情報を構成する、
ことを特徴とするインシデント検知システム。 - 請求項1〜8のいずれか一に記載のインシデント検知システムであって、
前記通信経路抽出部は、前記インシデント検知システムの運用開始前に、前記想定経路情報を前記記憶部に記憶し、
前記インシデント検知部は、前記インシデント検知システムの運用開始後に、前記想定経路情報と、前記経路情報とに基づいて、不正な通信パケットを検知する、
ことを特徴とするインシデント検知システム。 - セキュリティインシデントを検知するインシデント検知システムであって、
第1のゲートウェイ装置は、
自ゲートウェイ装置の識別情報を生成するID生成部と、
制御装置から送信された制御情報と、通信パケットに前記自ゲートウェイ装置の識別情報を付与した経路情報と、を含む検知パケットを生成する検知パケット生成部と、
前記第1のゲートウェイ装置にネットワークで接続された第2のゲートウェイ装置に前記検知パケットを送信する第1の装置通信部と、を備え、
前記第2のゲートウェイ装置は、
前記第1のゲートウェイ装置から前記検知パケットを受信し、または前記制御情報に基づいて制御される制御装置に前記検知パケットを送信する第2の装置通信部と、
前記検知パケットをログ情報として記憶部に格納するログ生成部と、
前記ログ情報から前記経路情報を抽出した想定経路情報をあらかじめ記憶部に記憶する通信経路抽出部と、
前記記憶部に記憶されている前記想定経路情報と、前記ログ情報に含まれる前記経路情報とに基づいて、不正な通信パケットを検知するインシデント検知部と、
を備えることを特徴とするインシデント検知システム。 - 請求項10に記載のインシデント検知システムであって、
前記第1のゲートウェイ装置は、
さらに、秘密情報を格納する秘密情報格納部を備え、
前記ID生成部は、前記第1のゲートウェイ装置に固有の識別情報と前記秘密情報とに基づいて、前記自ゲートウェイ装置の識別情報を生成する、
ことを特徴とするインシデント検知システム。 - 請求項11に記載のインシデント検知システムであって、
前記第1のゲートウェイ装置は、
さらに、前記第1のゲートウェイ装置の動作モードを、前記想定経路情報を収集するための経路収集モード、前記経路情報を検知するモードである検知モード、のいずれかのモードにする第1の装置モード変更部を備え、
前記第2のゲートウェイ装置は、
さらに、前記第1のゲートウェイ装置の動作モードを、前記経路収集モードと、前記検知モードと、のいずれかのモードにする第2の装置モード変更部とを備え、
前記通信経路抽出部は、前記第1のゲートウェイ装置と、前記第2のゲートウェイ装置と、前記第1のゲートウェイ装置と前記第2のゲートウェイ装置とにネットワークで接続された管理サーバとが前記経路収集モードの場合に前記想定経路情報を抽出し、
前記インシデント検知部は、前記第1のゲートウェイ装置と、前記第2のゲートウェイ装置と、前記管理サーバとが前記検知モードの場合に前記不正な通信パケットを検知する、
ことを特徴とするインシデント検知システム。 - 請求項10〜12のいずれか一に記載のインシデント検知システムであって、
前記インシデント検知部は、前記セキュリティインシデントを検知したか否かを判定し、前記セキュリティインシデントを検知したと判定した場合、前記検知パケットを破棄する、
ことを特徴とするインシデント検知システム。 - 請求項10〜13のいずれか一に記載のインシデント検知システムであって、
前記通信経路抽出部は、前記インシデント検知システムの運用開始前に、前記想定経路情報を前記記憶部に記憶し、
前記インシデント検知部は、前記インシデント検知システムの運用開始後に、前記想定経路情報と、前記経路情報とに基づいて、不正な通信パケットを検知する、
ことを特徴とするインシデント検知システム。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015049851A JP6310874B2 (ja) | 2015-03-12 | 2015-03-12 | インシデント検知システム |
PCT/JP2015/086065 WO2016143231A1 (ja) | 2015-03-12 | 2015-12-24 | インシデント検知システム |
US15/547,905 US10348746B2 (en) | 2015-03-12 | 2015-12-24 | Incident detection system including gateway device and server |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015049851A JP6310874B2 (ja) | 2015-03-12 | 2015-03-12 | インシデント検知システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016171453A JP2016171453A (ja) | 2016-09-23 |
JP6310874B2 true JP6310874B2 (ja) | 2018-04-11 |
Family
ID=56879315
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015049851A Active JP6310874B2 (ja) | 2015-03-12 | 2015-03-12 | インシデント検知システム |
Country Status (3)
Country | Link |
---|---|
US (1) | US10348746B2 (ja) |
JP (1) | JP6310874B2 (ja) |
WO (1) | WO2016143231A1 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6769270B2 (ja) * | 2016-12-02 | 2020-10-14 | 株式会社デンソー | 車載電子制御装置、車載電子制御システム、中継装置 |
JP6869869B2 (ja) * | 2017-10-26 | 2021-05-12 | 株式会社日立製作所 | 制御システムのための対策立案システムおよび監視装置 |
JP7140845B2 (ja) * | 2018-01-17 | 2022-09-21 | ビョス インコーポレーテッド | ネットワーク接続をセキュアにするためのデバイスおよび方法 |
US20190363925A1 (en) * | 2018-05-22 | 2019-11-28 | Critical Start, Inc. | Cybersecurity Alert Management System |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH04235652A (ja) * | 1991-01-11 | 1992-08-24 | Nippon Telegr & Teleph Corp <Ntt> | 電子計算機アクセス方法 |
JP3797937B2 (ja) | 2002-02-04 | 2006-07-19 | 株式会社日立製作所 | ネットワーク接続システム、ネットワーク接続方法、および、それらに用いられるネットワーク接続装置 |
JP4278593B2 (ja) * | 2004-09-28 | 2009-06-17 | 日本電信電話株式会社 | アプリケーション型サービス不能攻撃に対する防御方法およびエッジ・ルータ |
JP3962073B2 (ja) * | 2005-11-08 | 2007-08-22 | 横浜ゴム株式会社 | 車両監視システム |
JP2008099156A (ja) * | 2006-10-16 | 2008-04-24 | Hitachi Ltd | 情報漏洩防止システム |
US8307422B2 (en) * | 2008-08-14 | 2012-11-06 | Juniper Networks, Inc. | Routing device having integrated MPLS-aware firewall |
JP5581141B2 (ja) * | 2010-07-29 | 2014-08-27 | 株式会社Pfu | 管理サーバ、通信遮断装置、情報処理システム、方法およびプログラム |
JP5088403B2 (ja) | 2010-08-02 | 2012-12-05 | 横河電機株式会社 | 不正通信検出システム |
-
2015
- 2015-03-12 JP JP2015049851A patent/JP6310874B2/ja active Active
- 2015-12-24 US US15/547,905 patent/US10348746B2/en not_active Expired - Fee Related
- 2015-12-24 WO PCT/JP2015/086065 patent/WO2016143231A1/ja active Application Filing
Also Published As
Publication number | Publication date |
---|---|
JP2016171453A (ja) | 2016-09-23 |
WO2016143231A1 (ja) | 2016-09-15 |
US20180026998A1 (en) | 2018-01-25 |
US10348746B2 (en) | 2019-07-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6310874B2 (ja) | インシデント検知システム | |
CN104025506B (zh) | 通信系统中的消息认证方法及通信系统 | |
CN103650428B (zh) | 网络检疫系统、网络检疫方法及其程序 | |
CN109413201A (zh) | Ssl通信方法、装置及存储介质 | |
CN107710676B (zh) | 网关装置及其控制方法 | |
CN109359464B (zh) | 一种基于区块链技术的无线安全认证方法 | |
WO2018017566A1 (en) | Hash-chain based sender identification scheme | |
KR20110031752A (ko) | 유비쿼터스 센서 네트워크에서의 위치 정보 및 해쉬 체인을 이용한 시빌 공격 노드 탐지 방법 및 장치 | |
JP5398404B2 (ja) | 通信遮断装置、サーバ装置、方法およびプログラム | |
CN106330968B (zh) | 一种访问设备的身份认证方法及装置 | |
CN104392172B (zh) | 一种基于嵌入式的工业系统的安全检测方法及系统 | |
US8798063B2 (en) | Information processing apparatus and information processing method | |
US10726161B2 (en) | Information processing device and malicious message detection method | |
US20120204242A1 (en) | Protecting web authentication using external module | |
EP3447668B1 (en) | Utilizing routing for secure transactions | |
JP5772674B2 (ja) | 個人認証機能を有する無線中継システム | |
JP2020188314A (ja) | ネットワークシステム | |
JP6890073B2 (ja) | 情報収集装置、情報収集システム | |
Murvay et al. | A brief look at the security of DeviceNet communication in industrial control systems | |
GB2570292A (en) | Data protection | |
JP5826910B2 (ja) | 通信装置および鍵管理方法 | |
JP2013192169A (ja) | 通信装置及びネットワーク認証システム | |
JP6720113B2 (ja) | 認証システム、サービス提供サーバ、認証方法、及びプログラム | |
CN105827427B (zh) | 一种信息处理方法及电子设备 | |
JP5695623B2 (ja) | 送信装置及び通信システム及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170317 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20171107 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171227 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180227 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180319 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6310874 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |