JP6509462B2 - 攻撃検知装置、攻撃検知方法および攻撃検知プログラム - Google Patents
攻撃検知装置、攻撃検知方法および攻撃検知プログラム Download PDFInfo
- Publication number
- JP6509462B2 JP6509462B2 JP2018562802A JP2018562802A JP6509462B2 JP 6509462 B2 JP6509462 B2 JP 6509462B2 JP 2018562802 A JP2018562802 A JP 2018562802A JP 2018562802 A JP2018562802 A JP 2018562802A JP 6509462 B2 JP6509462 B2 JP 6509462B2
- Authority
- JP
- Japan
- Prior art keywords
- attack
- state
- whitelist
- attack detection
- communication data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims description 109
- 238000004891 communication Methods 0.000 claims description 145
- 230000007704 transition Effects 0.000 claims description 57
- 238000012545 processing Methods 0.000 claims description 41
- 238000000034 method Methods 0.000 claims description 23
- 230000008569 process Effects 0.000 claims description 19
- 230000006870 function Effects 0.000 description 22
- 238000010586 diagram Methods 0.000 description 6
- 238000012423 maintenance Methods 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 230000008439 repair process Effects 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
制御システムのネットワーク通信が固定的であることを利用して、従来の侵入攻撃検知システムでは、送信先アドレスと送信元アドレスのペア、あるいは、プロトコルといった許可された通信が記載されたホワイトリストを定義する。また、正常な通信の組み合わせによる攻撃あるいは運転員による不正操作による攻撃への対策として、システム状態に着目した侵入攻撃検知システムが開発されている。
前記複数のシステム状態のシステム状態ごとに、前記制御システムに属するシステム情報であって前記システム状態において許可されるシステム情報を定義したホワイトリストを対応付けて記憶したホワイトリスト記憶部と、
前記サーバ装置と前記機器との間で通信される通信データを取得し、取得した通信データに基づいて、前記制御システムの現在のシステム状態を推定する状態推定部と、
前記現在のシステム状態に対応するホワイトリストを前記ホワイトリスト記憶部から取得し、取得したホワイトリストと前記現在のシステム状態における前記制御システムに属するシステム情報とに基づいて、前記攻撃を検知したか否かを判定する攻撃判定部とを備えた。
***構成の説明***
図1を用いて、制御システムのシステム構成例100について説明する。
図1のシステム構成例100では、制御システムは、情報系ネットワーク101、制御系ネットワーク102、フィールドネットワーク103、サーバ装置104、コントローラ105、フィールドデバイス106、および攻撃検知装置200を有する。
情報系ネットワーク101は、オフィス内で利用されるネットワークであり、サーバ装置104が接続される。
制御系ネットワーク102は、サーバ装置104からコントローラ105へ送信される操作量、および、コントローラ105からサーバ装置104へ送信される観測量が流れるネットワークである。
フィールドネットワーク103は、コントローラ105からフィールドデバイス106への制御信号およびセンサ情報が流れるネットワークである。
図1のシステム構成例100では、攻撃検知装置200が制御系ネットワーク102に接続されている。なお、図1のシステム構成例100は制御システムの一般的な構成であり、制御システムが図1に示された全ての構成を有する必要はない。制御システムが図1に示された構成の一部を有する場合でも、本実施の形態を制御システムに適用することができる。また、攻撃検知装置200は、制御系ネットワーク102以外のフィールドネットワーク103に接続されていてもよい。
制御システム700は、機器400,500と機器400,500を制御するサーバ装置300とを有する。また、制御システム700は、複数のシステム状態を遷移する。機器は、具体的には、コントローラである。
また、攻撃検知装置200は、収集した通信データ206をホワイトリスト209と照合し、制御システム700に対する攻撃を検知する。攻撃検知装置200は、侵入攻撃検知装置ともいう。攻撃検知装置200で行われる動作は、攻撃検知方法510の例である。
なお、機器400および機器500を区別する必要がない場合は、単に機器あるいはコントローラと表記する。
サーバ装置300は、機器400および機器500を管理する。
攻撃検知装置200は、プロセッサ910、記憶装置920、入力インタフェース930、出力インタフェース940、および通信装置950といったハードウェアを備える。記憶装置920は、メモリ921と補助記憶装置922とを含む。
記憶部240は、メモリ921により実現される。また、記憶部240は、補助記憶装置922のみ、あるいは、メモリ921および補助記憶装置922で実現されてもよい。記憶部240の実現方法は任意である。
通信インタフェース部250は、通信装置950により実現される。
なお、攻撃検知プログラムプロダクトとは、攻撃検知プログラム520が記録された記憶媒体および記憶装置である。攻撃検知プログラムプロダクトは、外観に関わらず、コンピュータ読み取り可能なプログラムをロードしているものを指す。
次に、図2に示す通信インタフェース部250、状態推定部210、攻撃判定部220、警報部230、およびホワイトリスト記憶部242の機能について説明する。
また、通信インタフェース部250は、警報部230からの警報231を受信し、受信した警報231をサーバ装置300へ警報602として送信する。
このように、通信インタフェース部250は、攻撃検知装置200の内部の要素と制御系ネットワーク600との間でデータの送受信を行う。
なお、通信データ206は、制御システム700に属するシステム情報701の例である。
状態記憶部241は、現在のシステム状態41と現在のシステム状態に遷移する前のシステム状態42とを記憶する。状態記憶部241には、システム状態情報207として、システム状態411と遷移前状態412とが記憶される。システム状態411は、現在のシステム状態41の例である。遷移前状態412は、現在のシステム状態41に遷移する前のシステム状態42の例である。システム状態情報207に含まれる制御システム700の状態遷移は、制御システム700に属するシステム情報701の例である。
状態推定部210は、今回推定したシステム状態を状態記憶部241のシステム状態411に記憶し、前回推定したシステム状態を状態記憶部241の遷移前状態412に記憶する。
ホワイトリスト記憶部242は、複数のシステム状態のシステム状態ごとに、システム状態において許可される通信データをシステム情報701として定義した通信データホワイトリスト902をホワイトリスト209として対応付けて記憶する。
また、ホワイトリスト記憶部242は、複数のシステム状態のシステム状態ごとに、システム状態に遷移する前のシステム状態として許可される遷移前状態をシステム情報701として定義した状態遷移ホワイトリスト901をホワイトリスト209として対応付けて記憶する。
通信データホワイトリスト902は、正常な通信データをシステム状態ごとに定義したホワイトリストである。通信データホワイトリスト902は、システム状態ごとに、プロトコル種別、IPアドレスあるいはポート番号といった送信元情報および送信先情報、データ長、コマンドあるいは設定値の範囲といったペイロード条件、および一定周期による通信の発生といった周期条件によって定義される。通信データホワイトリスト902は、通信データが攻撃によるものか否かを判定するために用いられる。
攻撃判定部220は、状態推定部210により推定されたシステム状態情報207を元に、現在のシステム状態に応じたホワイトリスト209をホワイトリスト記憶部242から取得する。
より具体的には、攻撃判定部220は、通信インタフェース部250から通信データ206を取得し、取得した通信データ206に、選択したホワイトリスト209を適用する。そして、攻撃判定部220は、通信データ206が現在のシステム状態において許可された通信データであるか否かを判定する。通信データ206の全ての属性がホワイトリスト209の全ての項目に一致する場合以外は、攻撃判定部220は、通信データ206がホワイトリスト209に適合しないと判定する。通信データ206がホワイトリスト209に適合しない場合、攻撃判定部220は攻撃ありの判定結果221を警報部230に出力する。
サーバ装置300は、警報部230からの警報602をオペレータに提示する。サーバ装置300はディスプレイに警報602を表示してもよいし、ランプといった表示器を用いて警報602を提示するようにしてもよい。また、サーバ装置300は、音声により警報602をオペレータに提示してもよい。また、サーバ装置300は警報602を他のサーバ装置に送信してもよい。
図5は、本実施の形態に係る攻撃検知装置200の攻撃検知方法510および攻撃検知プログラム520の攻撃検知処理S100を示すフローチャートである。攻撃検知プログラム520は、以下に示す各処理をコンピュータである攻撃検知装置200に実行させる。
なお、図5の攻撃検知装置200の動作フローは一例であり、攻撃検知装置200の動作フローは必ずしも図5の通りでなくてもよい。
ステップS120において、攻撃検知装置200は、システム状態情報207の初期設定を行う。攻撃検知装置200は、システム状態情報207の初期状態として、たとえば、ホワイトリストに記載されているシステム状態を用いる。
ステップS150において、攻撃判定部220は、通信データ206の取得を行う。
ステップS160において、攻撃判定部220は、攻撃判定処理S10を実行する。
図6を用いて、本実施の形態に係る攻撃判定処理S10について説明する。
ステップS11において、攻撃判定部220は、状態記憶部241からシステム状態情報207を取得する。システム状態情報207には、現在のシステム状態41としてシステム状態411が設定されている。
ステップS12において、攻撃判定部220は、システム状態情報207に示された現在のシステム状態41に対応付けられているホワイトリスト209をホワイトリスト記憶部242から取得する。具体的には、攻撃判定部220は、現在のシステム状態41に対応する通信データホワイトリスト902をホワイトリスト記憶部242から取得する。また、攻撃判定部220は、現在のシステム状態41に対応する状態遷移ホワイトリスト901をホワイトリスト記憶部242から取得する。
ステップS14において、攻撃判定部220は、システム状態情報207に示されたシステム状態の遷移を、ホワイトリスト記憶部240から取得したホワイトリスト209と照合する。具体的には、攻撃判定部220は、取得した状態遷移ホワイトリスト901と、現在のシステム状態41に遷移する前のシステム状態42である遷移前状態412とを照合する。
ステップS16において、攻撃判定部220は、異常の発生を通知する判定結果221を警報部230に出力する。攻撃がないと判定された場合、攻撃判定部220は、ステップS16の処理は行わない。
ステップS170において、警報部230は、攻撃ありか否かを判定する。具体的には、警報部230は、攻撃判定部220からの判定結果221を受け取った場合に、攻撃ありと判定する。攻撃ありと判定されると、処理はステップS180に進む。攻撃なしと判定されると、処理はステップS190に進む。
ステップS180において、警報部230は、攻撃判定部220からの判定結果221を取得し、警報231を通信インタフェース部250に送信する。通信インタフェース部250は、警報231を警報602として、サーバ装置300に送信する。
ステップS190において、状態推定部210は、通信データ206からシステム状態を推定する状態推定処理S30を実行する。状態推定処理S30において、攻撃判定部220は、制御理論に基づく状態観測器により現在のシステム状態を推定する。攻撃判定部220は、サーバ装置300と機器400,500との間で通信される通信データ601を取得する。攻撃判定部220は、取得した通信データ601を、サーバ装置300から機器400,500に送信される操作量261と、機器400,500からサーバ装置300に送信される観測量262とに分類する。攻撃判定部220は、操作量261と観測量262とを用いて、状態観測器により現在のシステム状態を推定する。
ステップS31において、通信データ処理部211は、通信データ206を、操作量261と観測量262とに分類する。操作量261は、サーバ装置300から、機器400または機器500への通信データである。観測量262は、機器400または機器500から、サーバ装置300への通信データである。
ステップS32において、オブザーバ部212は、操作量261と観測量262とを入力に、制御理論に基づく状態観測器を用いて現在のシステム状態を推定する。オブザーバ部212は、状態観測器部ともいう。オブザーバ部212は、推定結果をシステム状態として出力する。オブザーバの設計は、システムをモデル化することによって実現され、モデル化の手法には、有限オートマトンあるいはペトリネットといった手法が考えられる。
制御システム700では、状態遷移パターン790にあるように、「待機」→「起動中」→「運転」→「停止中」→「待機」⇔「保守」という状態遷移が行われる。
攻撃検知装置200は、通信データ601を収集し、システム状態の推定を行い、推定したシステム状態に応じたホワイトリスト209による攻撃判定を行う。
図8のシステム状態情報207に示すように、状態推定部210により推定されたシステム状態が蓄積されていくとしてもよい。また、蓄積されたシステム状態の各々には、システム状態への遷移のきっかけとなったコマンドが設定されているものとする。
(3)攻撃判定部220は、推定されたシステム状態に対応するホワイトリスト209により、正常な通信データ206であるか、および、正常な状態遷移であるかを判定する。上述したように、ホワイトリスト209には、状態遷移ホワイトリスト901と通信データホワイトリスト902とがある。
(3a)通信データホワイトリスト902は、システム状態ごとに許可する通信データを定義する。具体的には、システム状態「待機」において許可される通信データを、IPアドレス、ポート番号、データ長、および通信周期といった属性情報で定義する。攻撃判定部220は、状態推定部210により推定された現在のシステム状態に応じて、参照する通信データホワイトリスト902を切り替える。
(3b)状態遷移ホワイトリスト901は、具体例としては、「待機」から「起動中」へのシステム状態の遷移を許可し、反対に、定義されない「運転」から「保守」への状態遷移は異常として判定する。また、異常な状態遷移を状態推定部210で判定してもよい。
攻撃判定部220は、システム状態情報207における遷移する前のシステム状態を遷移前状態とし、現在のシステム状態を遷移後状態とする。また、攻撃判定部220は、現在のシステム状態に示されたコマンドを遷移条件とする。攻撃判定部220は、これらの遷移前状態、遷移後状態、および遷移条件を、ホワイトリスト記憶部242から取得した状態遷移ホワイトリスト901と照合する。
(4)攻撃判定部220は、判定結果221を警報部230に出力する。警報部230は、判定結果221に基づき、警報602をサーバ装置300に送信する。また、警報部230は、警報602だけでなく、フェールセーフを目的とした制御信号をサーバ装置300に送信してもよい。
本実施の形態では、通信データ処理部211と、オブザーバ部212と、攻撃判定部220と、警報部230との機能がソフトウェアで実現される。しかし、変形例として、通信データ処理部211と、オブザーバ部212と、攻撃判定部220と、警報部230との機能がハードウェアで実現されてもよい。
図9に示すように、攻撃検知装置200は、処理回路909、入力インタフェース930、出力インタフェース940、および通信装置950といったハードウェアを備える。
本実施の形態に係る攻撃検知装置200では、制御理論に基づく状態観測器により通信データからシステム状態を推定し、推定したシステム状態に応じたホワイトリストで攻撃検知を行う。このように、本実施の形態に係る攻撃検知装置200によれば、通信データからシステム状態を推定するため、設備に状態通知機能を組込む改修は必要なく、既設の設備であっても容易に導入が可能である。
また、攻撃検知装置は、1つの装置でなく、複数の装置から構成された攻撃検知システムでもよい。
なお、上述した実施の形態は、本質的に好ましい例示であって、本発明、その適用物および用途の範囲を制限することを意図するものではなく、必要に応じて種々の変更が可能である。
Claims (8)
- 機器と前記機器を制御するサーバ装置とを有する制御システムであって複数のシステム状態を遷移する制御システムに対する攻撃を検知する攻撃検知装置において、
前記複数のシステム状態のシステム状態ごとに、前記制御システムに属するシステム情報であって前記システム状態において許可されるシステム情報を定義したホワイトリストを対応付けて記憶したホワイトリスト記憶部と、
前記サーバ装置と前記機器との間で通信される通信データを取得し、取得した通信データに基づいて、前記制御システムの現在のシステム状態を推定する状態推定部と、
前記現在のシステム状態に対応するホワイトリストを前記ホワイトリスト記憶部から取得し、取得したホワイトリストと前記現在のシステム状態における前記制御システムに属するシステム情報とに基づいて、前記攻撃を検知したか否かを判定する攻撃判定部と
を備えた攻撃検知装置。 - 前記ホワイトリスト記憶部は、
前記複数のシステム状態のシステム状態ごとに、前記システム状態において許可される通信データを前記システム情報として定義した通信データホワイトリストを前記ホワイトリストとして対応付けて記憶し、
前記攻撃判定部は、
前記現在のシステム状態に対応する通信データホワイトリストを前記ホワイトリスト記憶部から取得し、取得した通信データホワイトリストに前記状態推定部により取得された通信データが適合しない場合に、前記攻撃を検知したと判定する請求項1に記載の攻撃検知装置。 - 前記攻撃検知装置は、
前記現在のシステム状態と前記現在のシステム状態に遷移する前のシステム状態とを記憶する状態記憶部を備え、
前記ホワイトリスト記憶部は、
前記複数のシステム状態のシステム状態ごとに、前記システム状態に遷移する前のシステム状態として許可される遷移前状態を前記システム情報として定義した状態遷移ホワイトリストを前記ホワイトリストとして対応付けて記憶し、
前記攻撃判定部は、
前記現在のシステム状態に対応する状態遷移ホワイトリストを前記ホワイトリスト記憶部から取得し、取得した状態遷移ホワイトリストに前記状態記憶部に記憶された前記現在のシステム状態に遷移する前のシステム状態が適合しない場合に、前記攻撃を検知したと判定する請求項1または2に記載の攻撃検知装置。 - 前記攻撃検知装置は、
前記攻撃判定部により前記攻撃を検知したと判定された場合に、前記サーバ装置に警報を送信する警報部を備えた請求項1から3のいずれか1項に記載の攻撃検知装置。 - 前記攻撃判定部は、
制御理論に基づく状態観測器により前記現在のシステム状態を推定する請求項1から4のいずれか1項に記載の攻撃検知装置。 - 前記攻撃判定部は、
前記サーバ装置と前記機器との間で通信される通信データを取得し、取得した通信データを、前記サーバ装置から前記機器に送信される操作量と、前記機器から前記サーバ装置に送信される観測量とに分類し、前記操作量と前記観測量とを用いて、前記状態観測器により前記現在のシステム状態を推定する請求項5に記載の攻撃検知装置。 - 機器と前記機器を制御するサーバ装置とを有する制御システムであって複数のシステム状態を遷移する制御システムに対する攻撃を検知する攻撃検知装置の攻撃検知方法において、
前記攻撃検知装置は、前記複数のシステム状態のシステム状態ごとに、前記制御システムに属するシステム情報であって前記システム状態において許可されるシステム情報を定義したホワイトリストを対応付けて記憶したホワイトリスト記憶部を備え、
状態推定部が、前記サーバ装置と前記機器との間で通信される通信データを取得し、取得した通信データに基づいて、前記制御システムの現在のシステム状態を推定し、
攻撃判定部が、前記現在のシステム状態に対応するホワイトリストを前記ホワイトリスト記憶部から取得し、取得したホワイトリストと前記現在のシステム状態における前記制御システムに属するシステム情報とに基づいて、前記攻撃を検知したか否かを判定する攻撃検知方法。 - 機器と前記機器を制御するサーバ装置とを有する制御システムであって複数のシステム状態を遷移する制御システムに対する攻撃を検知する攻撃検知装置の攻撃検知プログラムにおいて、
前記攻撃検知装置は、前記複数のシステム状態のシステム状態ごとに、前記制御システムに属するシステム情報であって前記システム状態において許可されるシステム情報を定義したホワイトリストを対応付けて記憶したホワイトリスト記憶部を備え、
前記サーバ装置と前記機器との間で通信される通信データを取得し、取得した通信データに基づいて、前記制御システムの現在のシステム状態を推定する状態推定処理と、
前記現在のシステム状態に対応するホワイトリストを前記ホワイトリスト記憶部から取得し、取得したホワイトリストと前記現在のシステム状態における前記制御システムに属するシステム情報とに基づいて、前記攻撃を検知したか否かを判定する攻撃判定処理とをコンピュータである前記攻撃検知装置に実行させる攻撃検知プログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2017/001690 WO2018134939A1 (ja) | 2017-01-19 | 2017-01-19 | 攻撃検知装置、攻撃検知方法および攻撃検知プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP6509462B2 true JP6509462B2 (ja) | 2019-05-08 |
JPWO2018134939A1 JPWO2018134939A1 (ja) | 2019-06-27 |
Family
ID=62908309
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018562802A Active JP6509462B2 (ja) | 2017-01-19 | 2017-01-19 | 攻撃検知装置、攻撃検知方法および攻撃検知プログラム |
Country Status (5)
Country | Link |
---|---|
US (1) | US20200314130A1 (ja) |
EP (1) | EP3547190B1 (ja) |
JP (1) | JP6509462B2 (ja) |
CN (1) | CN110168551A (ja) |
WO (1) | WO2018134939A1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022249842A1 (ja) | 2021-05-26 | 2022-12-01 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 異常検知システム、異常検知方法およびプログラム |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019125914A (ja) * | 2018-01-16 | 2019-07-25 | アラクサラネットワークス株式会社 | 通信装置及びプログラム |
JP7378089B2 (ja) * | 2018-06-13 | 2023-11-13 | パナソニックIpマネジメント株式会社 | 不正通信検知装置、不正通信検知方法及び製造システム |
WO2021199160A1 (ja) * | 2020-03-30 | 2021-10-07 | 日本電気株式会社 | 情報処理装置、情報処理方法、記録媒体、情報処理システム |
WO2023058212A1 (ja) * | 2021-10-08 | 2023-04-13 | 三菱電機株式会社 | 制御装置 |
CN114371682B (zh) * | 2021-11-05 | 2024-04-05 | 中国科学院信息工程研究所 | Plc控制逻辑攻击检测方法及装置 |
JP7325695B1 (ja) * | 2023-01-23 | 2023-08-14 | 三菱電機株式会社 | データ処理装置、データ処理方法及びデータ処理プログラム |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016114077A1 (ja) * | 2015-01-16 | 2016-07-21 | 三菱電機株式会社 | データ判定装置、データ判定方法及びプログラム |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4626852B2 (ja) * | 2005-07-11 | 2011-02-09 | 日本電気株式会社 | 通信網の障害検出システム、通信網の障害検出方法及び障害検出プログラム |
US9245147B1 (en) * | 2013-01-30 | 2016-01-26 | White Badger Group, LLC | State machine reference monitor for information system security |
WO2014155650A1 (ja) | 2013-03-29 | 2014-10-02 | 株式会社日立製作所 | 情報制御装置、情報制御システム、及び情報制御方法 |
US9660994B2 (en) * | 2014-09-30 | 2017-05-23 | Schneider Electric USA, Inc. | SCADA intrusion detection systems |
-
2017
- 2017-01-19 CN CN201780082931.2A patent/CN110168551A/zh active Pending
- 2017-01-19 EP EP17893204.2A patent/EP3547190B1/en active Active
- 2017-01-19 WO PCT/JP2017/001690 patent/WO2018134939A1/ja unknown
- 2017-01-19 US US16/464,150 patent/US20200314130A1/en not_active Abandoned
- 2017-01-19 JP JP2018562802A patent/JP6509462B2/ja active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016114077A1 (ja) * | 2015-01-16 | 2016-07-21 | 三菱電機株式会社 | データ判定装置、データ判定方法及びプログラム |
Non-Patent Citations (2)
Title |
---|
中井 綱人 ほか: "プラント制御システム向けホワイトリスト型攻撃検知機能の設計", SCIS2016 [USB], vol. 2B2−4, JPN6017005603, 19 January 2016 (2016-01-19), JP, pages pp.1−8 * |
清水 孝一 ほか: "ホワイトリスト型攻撃検知における検知ルールの自動生成", SCIS2016 [USB], vol. 2B2−5, JPN6017005604, 19 January 2016 (2016-01-19), JP, pages pp.1−7 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022249842A1 (ja) | 2021-05-26 | 2022-12-01 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 異常検知システム、異常検知方法およびプログラム |
Also Published As
Publication number | Publication date |
---|---|
WO2018134939A1 (ja) | 2018-07-26 |
JPWO2018134939A1 (ja) | 2019-06-27 |
US20200314130A1 (en) | 2020-10-01 |
CN110168551A (zh) | 2019-08-23 |
EP3547190B1 (en) | 2020-12-23 |
EP3547190A4 (en) | 2019-11-13 |
EP3547190A1 (en) | 2019-10-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6509462B2 (ja) | 攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
US8677484B2 (en) | Providing protection against unauthorized network access | |
JP6054010B2 (ja) | データ判定装置、データ判定方法及びプログラム | |
US10235516B2 (en) | Method for authenticating a networked endpoint using a physical (power) challenge | |
JP6703616B2 (ja) | セキュリティ脅威を検出するためのシステム及び方法 | |
US8560688B2 (en) | Monitoring sensors for systems management | |
KR101839647B1 (ko) | 프로세스별 네트워킹 기능 관리 기법 | |
KR101972295B1 (ko) | 침입 검지 장치 및 기억 매체에 저장된 침입 검지 프로그램 | |
JP6391891B2 (ja) | 侵入検知装置、侵入検知方法及び侵入検知プログラム | |
CN110178137B (zh) | 数据判定装置、数据判定方法以及计算机能读取的存储介质 | |
US10893058B1 (en) | Malware detection and alerting for network connected devices based on traffic flow analysis on local network | |
CN106775971B (zh) | 数据处理装置 | |
WO2015030999A1 (en) | Agentless monitoring of computer systems | |
JP2024520564A (ja) | Iotデバイスを管理するためのシステム | |
US11811803B2 (en) | Method of threat detection | |
KR20190075558A (ko) | 단말 장치 및 단말 장치의 제어 방법 | |
US10997288B2 (en) | Detecting a compromised system using an integrated management controller |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190208 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20190208 |
|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20190225 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190305 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190402 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6509462 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |