JP6509462B2 - 攻撃検知装置、攻撃検知方法および攻撃検知プログラム - Google Patents
攻撃検知装置、攻撃検知方法および攻撃検知プログラム Download PDFInfo
- Publication number
- JP6509462B2 JP6509462B2 JP2018562802A JP2018562802A JP6509462B2 JP 6509462 B2 JP6509462 B2 JP 6509462B2 JP 2018562802 A JP2018562802 A JP 2018562802A JP 2018562802 A JP2018562802 A JP 2018562802A JP 6509462 B2 JP6509462 B2 JP 6509462B2
- Authority
- JP
- Japan
- Prior art keywords
- attack
- state
- whitelist
- attack detection
- communication data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims description 109
- 238000004891 communication Methods 0.000 claims description 145
- 230000007704 transition Effects 0.000 claims description 57
- 238000012545 processing Methods 0.000 claims description 41
- 238000000034 method Methods 0.000 claims description 23
- 230000008569 process Effects 0.000 claims description 19
- 230000006870 function Effects 0.000 description 22
- 238000010586 diagram Methods 0.000 description 6
- 238000012423 maintenance Methods 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 230000008439 repair process Effects 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、攻撃検知装置、攻撃検知方法および攻撃検知プログラムに関する。
近年、制御システムがネットワークに接続されるケースの増大に伴い、制御システムがサイバー攻撃の標的になるケースが増加している。サイバー攻撃によるネットワークへの侵入および攻撃を検知するために、制御システムでは、侵入攻撃検知システムが用いられている。
制御システムのネットワーク通信が固定的であることを利用して、従来の侵入攻撃検知システムでは、送信先アドレスと送信元アドレスのペア、あるいは、プロトコルといった許可された通信が記載されたホワイトリストを定義する。また、正常な通信の組み合わせによる攻撃あるいは運転員による不正操作による攻撃への対策として、システム状態に着目した侵入攻撃検知システムが開発されている。
制御システムのネットワーク通信が固定的であることを利用して、従来の侵入攻撃検知システムでは、送信先アドレスと送信元アドレスのペア、あるいは、プロトコルといった許可された通信が記載されたホワイトリストを定義する。また、正常な通信の組み合わせによる攻撃あるいは運転員による不正操作による攻撃への対策として、システム状態に着目した侵入攻撃検知システムが開発されている。
特許文献1には、システム状態を通知するパケットを用いて、システム状態に対応した正常な通信パターンであるか否かを判定することにより、侵入および攻撃を検知する技術が開示されている。
特許文献1の侵入攻撃検知システムは、サーバ装置あるいはコントローラから送信される状態通知パケットにより、システム状態を把握し、状態に応じた通信パターンであるか否かを判定する。この特許文献1の侵入攻撃検知システムでは、状態通知パケットを送信する機能をサーバ装置あるいはコントローラに組込む必要がある。したがって、既設設備に対して機能の追加および改修が必要であるという課題があった。
本発明に係る攻撃検知装置は、通信データからシステム状態を推定し、推定したシステム状態とホワイトリストとを用いて攻撃検知を実現する。このように、本発明に係る攻撃検知装置は、通信データからシステム状態を推定するため、設備に状態通知機能を組込む必要がなく、設備に容易に導入することができる。
本発明に係る攻撃検知装置は、機器と前記機器を制御するサーバ装置とを有する制御システムであって複数のシステム状態を遷移する制御システムに対する攻撃を検知する攻撃検知装置において、
前記複数のシステム状態のシステム状態ごとに、前記制御システムに属するシステム情報であって前記システム状態において許可されるシステム情報を定義したホワイトリストを対応付けて記憶したホワイトリスト記憶部と、
前記サーバ装置と前記機器との間で通信される通信データを取得し、取得した通信データに基づいて、前記制御システムの現在のシステム状態を推定する状態推定部と、
前記現在のシステム状態に対応するホワイトリストを前記ホワイトリスト記憶部から取得し、取得したホワイトリストと前記現在のシステム状態における前記制御システムに属するシステム情報とに基づいて、前記攻撃を検知したか否かを判定する攻撃判定部とを備えた。
前記複数のシステム状態のシステム状態ごとに、前記制御システムに属するシステム情報であって前記システム状態において許可されるシステム情報を定義したホワイトリストを対応付けて記憶したホワイトリスト記憶部と、
前記サーバ装置と前記機器との間で通信される通信データを取得し、取得した通信データに基づいて、前記制御システムの現在のシステム状態を推定する状態推定部と、
前記現在のシステム状態に対応するホワイトリストを前記ホワイトリスト記憶部から取得し、取得したホワイトリストと前記現在のシステム状態における前記制御システムに属するシステム情報とに基づいて、前記攻撃を検知したか否かを判定する攻撃判定部とを備えた。
本発明に係る攻撃検知装置では、ホワイトリスト記憶部が、複数のシステム状態のシステム状態ごとに、制御システムに属するシステム情報であってシステム状態において許可されるシステム情報を定義したホワイトリストを対応付けて記憶する。状態推定部が、サーバ装置と機器との間で通信される通信データを取得し、取得した通信データに基づいて、制御システムの現在のシステム状態を推定する。攻撃判定部が、現在のシステム状態に対応するホワイトリストをホワイトリスト記憶部から取得し、取得したホワイトリストと現在のシステム状態における制御システムに属するシステム情報とに基づいて、攻撃を検知したか否かを判定する。よって、本発明に係る攻撃検知装置によれば、通信データからシステム状態を推定することができ、推定したシステム状態を用いて攻撃検知をすることができるため、設備に容易に導入することができる。
以下、本発明の実施の形態について、図を用いて説明する。なお、各図中、同一または相当する部分には、同一符号を付している。実施の形態の説明において、同一または相当する部分については、説明を適宜省略または簡略化する。
実施の形態1.
***構成の説明***
図1を用いて、制御システムのシステム構成例100について説明する。
図1のシステム構成例100では、制御システムは、情報系ネットワーク101、制御系ネットワーク102、フィールドネットワーク103、サーバ装置104、コントローラ105、フィールドデバイス106、および攻撃検知装置200を有する。
情報系ネットワーク101は、オフィス内で利用されるネットワークであり、サーバ装置104が接続される。
制御系ネットワーク102は、サーバ装置104からコントローラ105へ送信される操作量、および、コントローラ105からサーバ装置104へ送信される観測量が流れるネットワークである。
フィールドネットワーク103は、コントローラ105からフィールドデバイス106への制御信号およびセンサ情報が流れるネットワークである。
図1のシステム構成例100では、攻撃検知装置200が制御系ネットワーク102に接続されている。なお、図1のシステム構成例100は制御システムの一般的な構成であり、制御システムが図1に示された全ての構成を有する必要はない。制御システムが図1に示された構成の一部を有する場合でも、本実施の形態を制御システムに適用することができる。また、攻撃検知装置200は、制御系ネットワーク102以外のフィールドネットワーク103に接続されていてもよい。
***構成の説明***
図1を用いて、制御システムのシステム構成例100について説明する。
図1のシステム構成例100では、制御システムは、情報系ネットワーク101、制御系ネットワーク102、フィールドネットワーク103、サーバ装置104、コントローラ105、フィールドデバイス106、および攻撃検知装置200を有する。
情報系ネットワーク101は、オフィス内で利用されるネットワークであり、サーバ装置104が接続される。
制御系ネットワーク102は、サーバ装置104からコントローラ105へ送信される操作量、および、コントローラ105からサーバ装置104へ送信される観測量が流れるネットワークである。
フィールドネットワーク103は、コントローラ105からフィールドデバイス106への制御信号およびセンサ情報が流れるネットワークである。
図1のシステム構成例100では、攻撃検知装置200が制御系ネットワーク102に接続されている。なお、図1のシステム構成例100は制御システムの一般的な構成であり、制御システムが図1に示された全ての構成を有する必要はない。制御システムが図1に示された構成の一部を有する場合でも、本実施の形態を制御システムに適用することができる。また、攻撃検知装置200は、制御系ネットワーク102以外のフィールドネットワーク103に接続されていてもよい。
図2を用いて、本実施の形態に係る制御システム700および攻撃検知装置200の構成について説明する。
制御システム700は、攻撃検知装置200、サーバ装置300、機器400、および機器500を有する。攻撃検知装置200、サーバ装置300、機器400、および機器500は、制御系ネットワーク600に接続されている。
制御システム700は、機器400,500と機器400,500を制御するサーバ装置300とを有する。また、制御システム700は、複数のシステム状態を遷移する。機器は、具体的には、コントローラである。
制御システム700は、機器400,500と機器400,500を制御するサーバ装置300とを有する。また、制御システム700は、複数のシステム状態を遷移する。機器は、具体的には、コントローラである。
攻撃検知装置200は、制御系ネットワーク600に接続され、サーバ装置300と機器400および機器500で送受信される通信データ601を収集する。攻撃検知装置200は、収集した通信データ601を通信データ206として、通信データ206から制御システム700の現在の制御状態を推定する。通信インタフェース部250により受信された後の通信データ601を通信データ206と表記する。また、以下において、制御システム700の現在の制御状態を、システム状態または単に状態ともいう。
また、攻撃検知装置200は、収集した通信データ206をホワイトリスト209と照合し、制御システム700に対する攻撃を検知する。攻撃検知装置200は、侵入攻撃検知装置ともいう。攻撃検知装置200で行われる動作は、攻撃検知方法510の例である。
また、攻撃検知装置200は、収集した通信データ206をホワイトリスト209と照合し、制御システム700に対する攻撃を検知する。攻撃検知装置200は、侵入攻撃検知装置ともいう。攻撃検知装置200で行われる動作は、攻撃検知方法510の例である。
機器400および機器500は、攻撃検知装置200の監視対象の機器である。機器400および機器500の各々は、具体的には、コントローラである。機器400および機器500の各々は、サーバ装置300との間で通信データ601を送受信する。
なお、機器400および機器500を区別する必要がない場合は、単に機器あるいはコントローラと表記する。
サーバ装置300は、機器400および機器500を管理する。
なお、機器400および機器500を区別する必要がない場合は、単に機器あるいはコントローラと表記する。
サーバ装置300は、機器400および機器500を管理する。
図2に示すように、攻撃検知装置200は、コンピュータである。
攻撃検知装置200は、プロセッサ910、記憶装置920、入力インタフェース930、出力インタフェース940、および通信装置950といったハードウェアを備える。記憶装置920は、メモリ921と補助記憶装置922とを含む。
攻撃検知装置200は、プロセッサ910、記憶装置920、入力インタフェース930、出力インタフェース940、および通信装置950といったハードウェアを備える。記憶装置920は、メモリ921と補助記憶装置922とを含む。
攻撃検知装置200は、機能構成として、状態推定部210、攻撃判定部220、警報部230と、記憶部240と、通信インタフェース部250とを備える。状態推定部210は、通信データ処理部211と、オブザーバ部212とを有する。記憶部240は、状態記憶部241と、ホワイトリスト記憶部242とを有する。
通信データ処理部211と、オブザーバ部212と、攻撃判定部220と、警報部230との機能は、ソフトウェアで実現される。
記憶部240は、メモリ921により実現される。また、記憶部240は、補助記憶装置922のみ、あるいは、メモリ921および補助記憶装置922で実現されてもよい。記憶部240の実現方法は任意である。
通信インタフェース部250は、通信装置950により実現される。
記憶部240は、メモリ921により実現される。また、記憶部240は、補助記憶装置922のみ、あるいは、メモリ921および補助記憶装置922で実現されてもよい。記憶部240の実現方法は任意である。
通信インタフェース部250は、通信装置950により実現される。
プロセッサ910は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。プロセッサ910は、演算処理を行うIC(Integrated Circuit)である。プロセッサ910は、CPU(Central Processing Unit)あるいはMPU(Micro−Processing Unit)である。
補助記憶装置922は、具体的には、ROM(Read Only Memory)、フラッシュメモリ、または、HDD(Hard Disk Drive)である。メモリ921は、具体的には、RAM(Random Access Memory)である。
入力インタフェース930は、マウス、キーボード、タッチパネルといった入力装置と接続されるポートである。入力インタフェース930は、具体的には、USB(Universal Serial Bus)端子である。なお、入力インタフェース930は、LAN(Local Area Network)と接続されるポートであってもよい。
出力インタフェース940は、ディスプレイといった表示機器のケーブルが接続されるポートである。出力インタフェース940は、具体的には、USB端子またはHDMI(登録商標)(High Definition Multimedia Interface)端子である。ディスプレイは、具体的には、LCD(Liquid Crystal Display)である。
通信装置950は、制御系ネットワーク600を介してサーバ装置300、機器400および機器500と通信を行う。通信装置950は、レシーバとトランスミッタとを有する。通信装置950は、具体的には、通信チップまたはNIC(Network Interface Card)である。通信装置950は、データを通信する通信部である。レシーバは、データを受信する受信部である。トランスミッタは、データを送信する送信部である。
補助記憶装置922には、通信データ処理部211と、オブザーバ部212と、攻撃判定部220と、警報部230との機能を実現するプログラムが記憶されている。通信データ処理部211と、オブザーバ部212と、攻撃判定部220と、警報部230との機能を実現するプログラムを攻撃検知プログラム520ともいう。このプログラムは、メモリ921にロードされ、プロセッサ910に読み込まれ、プロセッサ910によって実行される。また、補助記憶装置922には、OSが記憶されている。OSの少なくとも一部がメモリ921にロードされる。プロセッサ910はOSを実行しながら、攻撃検知プログラム520を実行する。図2では、プロセッサ910が通信データ処理部211と、オブザーバ部212と、攻撃判定部220と、警報部230との機能を実現するプログラムを実行している状態を模式的に表している。
攻撃検知装置200は、1つのプロセッサ910のみを備えていてもよいし、複数のプロセッサ910を備えていてもよい。複数のプロセッサ910が通信データ処理部211と、オブザーバ部212と、攻撃判定部220と、警報部230との機能を実現するプログラムを連携して実行してもよい。
通信データ処理部211と、オブザーバ部212と、攻撃判定部220と、警報部230との処理の結果を示す情報、データ、信号値、および変数値は、攻撃検知装置200の補助記憶装置922、メモリ921、または、プロセッサ910内のレジスタまたはキャッシュメモリに記憶される。
通信データ処理部211と、オブザーバ部212と、攻撃判定部220と、警報部230との機能を実現するプログラムは、可搬記録媒体に記憶されてもよい。可搬記録媒体とは、具体的には、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVD(Digital Versatile Disc)である。
なお、攻撃検知プログラムプロダクトとは、攻撃検知プログラム520が記録された記憶媒体および記憶装置である。攻撃検知プログラムプロダクトは、外観に関わらず、コンピュータ読み取り可能なプログラムをロードしているものを指す。
なお、攻撃検知プログラムプロダクトとは、攻撃検知プログラム520が記録された記憶媒体および記憶装置である。攻撃検知プログラムプロダクトは、外観に関わらず、コンピュータ読み取り可能なプログラムをロードしているものを指す。
***機能構成の説明***
次に、図2に示す通信インタフェース部250、状態推定部210、攻撃判定部220、警報部230、およびホワイトリスト記憶部242の機能について説明する。
次に、図2に示す通信インタフェース部250、状態推定部210、攻撃判定部220、警報部230、およびホワイトリスト記憶部242の機能について説明する。
通信インタフェース部250は、制御系ネットワーク600を介してサーバ装置300、機器400、および機器500で送受信される通信データ601を受信する。そして、通信インタフェース部250は、受信した通信データ601を通信データ206として、状態推定部210と攻撃判定部220に出力する。
また、通信インタフェース部250は、警報部230からの警報231を受信し、受信した警報231をサーバ装置300へ警報602として送信する。
このように、通信インタフェース部250は、攻撃検知装置200の内部の要素と制御系ネットワーク600との間でデータの送受信を行う。
また、通信インタフェース部250は、警報部230からの警報231を受信し、受信した警報231をサーバ装置300へ警報602として送信する。
このように、通信インタフェース部250は、攻撃検知装置200の内部の要素と制御系ネットワーク600との間でデータの送受信を行う。
状態推定部210は、サーバ装置300と機器400および機器500との間で通信される通信データ601を取得し、取得した通信データ601に基づいて、制御システム700の現在のシステム状態を推定する。状態推定部210は、通信インタフェース部250から通信データ206を取得する。状態推定部210は、取得した通信データ206を解析して、制御システム700の現在のシステム状態を推定する。状態推定部210は、推定したシステム状態を含むシステム状態情報207を状態記憶部241に記憶する。なお、状態推定部210は、システム状態情報207を直接、攻撃判定部220に出力してもよい。
なお、通信データ206は、制御システム700に属するシステム情報701の例である。
なお、通信データ206は、制御システム700に属するシステム情報701の例である。
図3は、本実施の形態に係る状態記憶部241の構成を示す図である。
状態記憶部241は、現在のシステム状態41と現在のシステム状態に遷移する前のシステム状態42とを記憶する。状態記憶部241には、システム状態情報207として、システム状態411と遷移前状態412とが記憶される。システム状態411は、現在のシステム状態41の例である。遷移前状態412は、現在のシステム状態41に遷移する前のシステム状態42の例である。システム状態情報207に含まれる制御システム700の状態遷移は、制御システム700に属するシステム情報701の例である。
状態推定部210は、今回推定したシステム状態を状態記憶部241のシステム状態411に記憶し、前回推定したシステム状態を状態記憶部241の遷移前状態412に記憶する。
状態記憶部241は、現在のシステム状態41と現在のシステム状態に遷移する前のシステム状態42とを記憶する。状態記憶部241には、システム状態情報207として、システム状態411と遷移前状態412とが記憶される。システム状態411は、現在のシステム状態41の例である。遷移前状態412は、現在のシステム状態41に遷移する前のシステム状態42の例である。システム状態情報207に含まれる制御システム700の状態遷移は、制御システム700に属するシステム情報701の例である。
状態推定部210は、今回推定したシステム状態を状態記憶部241のシステム状態411に記憶し、前回推定したシステム状態を状態記憶部241の遷移前状態412に記憶する。
ホワイトリスト記憶部242は、複数のシステム状態のシステム状態ごとに、制御システムに属するシステム情報であってシステム状態において許可されるシステム情報を定義したホワイトリストを対応付けて記憶する。ホワイトリスト記憶部242は、システム状態に対応付けられている複数のホワイトリスト209を保持する。ホワイトリスト209は、予め設定された正常な通信を許可するためのルールである。ホワイトリスト209には、状態遷移ホワイトリスト901と通信データホワイトリスト902とが考えられる。
図4は、本実施の形態に係るホワイトリスト記憶部242の構成を示す図である。
ホワイトリスト記憶部242は、複数のシステム状態のシステム状態ごとに、システム状態において許可される通信データをシステム情報701として定義した通信データホワイトリスト902をホワイトリスト209として対応付けて記憶する。
また、ホワイトリスト記憶部242は、複数のシステム状態のシステム状態ごとに、システム状態に遷移する前のシステム状態として許可される遷移前状態をシステム情報701として定義した状態遷移ホワイトリスト901をホワイトリスト209として対応付けて記憶する。
ホワイトリスト記憶部242は、複数のシステム状態のシステム状態ごとに、システム状態において許可される通信データをシステム情報701として定義した通信データホワイトリスト902をホワイトリスト209として対応付けて記憶する。
また、ホワイトリスト記憶部242は、複数のシステム状態のシステム状態ごとに、システム状態に遷移する前のシステム状態として許可される遷移前状態をシステム情報701として定義した状態遷移ホワイトリスト901をホワイトリスト209として対応付けて記憶する。
状態遷移ホワイトリスト901は、正常なシステム状態の遷移を定義したホワイトリストである。状態遷移ホワイトリスト901は、遷移前状態と、遷移のトリガとなるコマンドといった条件を定義した遷移条件と、遷移後状態とによって定義される。状態遷移ホワイトリスト901は、システム状態の遷移が攻撃によるものか否かを判定するために用いられる。
通信データホワイトリスト902は、正常な通信データをシステム状態ごとに定義したホワイトリストである。通信データホワイトリスト902は、システム状態ごとに、プロトコル種別、IPアドレスあるいはポート番号といった送信元情報および送信先情報、データ長、コマンドあるいは設定値の範囲といったペイロード条件、および一定周期による通信の発生といった周期条件によって定義される。通信データホワイトリスト902は、通信データが攻撃によるものか否かを判定するために用いられる。
攻撃判定部220は、状態推定部210により推定されたシステム状態情報207を元に、現在のシステム状態に応じたホワイトリスト209をホワイトリスト記憶部242から取得する。
通信データホワイトリスト902は、正常な通信データをシステム状態ごとに定義したホワイトリストである。通信データホワイトリスト902は、システム状態ごとに、プロトコル種別、IPアドレスあるいはポート番号といった送信元情報および送信先情報、データ長、コマンドあるいは設定値の範囲といったペイロード条件、および一定周期による通信の発生といった周期条件によって定義される。通信データホワイトリスト902は、通信データが攻撃によるものか否かを判定するために用いられる。
攻撃判定部220は、状態推定部210により推定されたシステム状態情報207を元に、現在のシステム状態に応じたホワイトリスト209をホワイトリスト記憶部242から取得する。
攻撃判定部220は、現在のシステム状態41に対応するホワイトリスト209をホワイトリスト記憶部242から取得し、取得したホワイトリスト209と現在のシステム状態41における制御システム700に属するシステム情報701とに基づいて、攻撃を検知したか否かを判定する。システム情報701とは、具体的には、通信データ206、あるいは、システム状態情報207に含まれる制御システム700の状態遷移である。
攻撃判定部220は、記憶部240からシステム状態情報207を取得する。あるいは、攻撃判定部220は、状態推定部210から直接、システム状態情報207を取得してもよい。そして、攻撃判定部220は、システム状態情報207に示されるシステム状態411と対応付けられているホワイトリスト209を、ホワイトリスト記憶部242から選択する。つまり、攻撃判定部220は、状態推定部210により推定されたシステム状態411と対応付けられているホワイトリスト209を選択する。そして、攻撃判定部220は、選択したホワイトリスト209を用いて、制御システム700への攻撃を検知する。
より具体的には、攻撃判定部220は、通信インタフェース部250から通信データ206を取得し、取得した通信データ206に、選択したホワイトリスト209を適用する。そして、攻撃判定部220は、通信データ206が現在のシステム状態において許可された通信データであるか否かを判定する。通信データ206の全ての属性がホワイトリスト209の全ての項目に一致する場合以外は、攻撃判定部220は、通信データ206がホワイトリスト209に適合しないと判定する。通信データ206がホワイトリスト209に適合しない場合、攻撃判定部220は攻撃ありの判定結果221を警報部230に出力する。
より具体的には、攻撃判定部220は、通信インタフェース部250から通信データ206を取得し、取得した通信データ206に、選択したホワイトリスト209を適用する。そして、攻撃判定部220は、通信データ206が現在のシステム状態において許可された通信データであるか否かを判定する。通信データ206の全ての属性がホワイトリスト209の全ての項目に一致する場合以外は、攻撃判定部220は、通信データ206がホワイトリスト209に適合しないと判定する。通信データ206がホワイトリスト209に適合しない場合、攻撃判定部220は攻撃ありの判定結果221を警報部230に出力する。
警報部230は、攻撃判定部220により攻撃を検知したと判定された場合に、サーバ装置300に警報231を送信する。具体的には、警報部230は、攻撃判定部220から判定結果221を取得した場合に、サーバ装置300に警報231を送信する。
サーバ装置300は、警報部230からの警報602をオペレータに提示する。サーバ装置300はディスプレイに警報602を表示してもよいし、ランプといった表示器を用いて警報602を提示するようにしてもよい。また、サーバ装置300は、音声により警報602をオペレータに提示してもよい。また、サーバ装置300は警報602を他のサーバ装置に送信してもよい。
サーバ装置300は、警報部230からの警報602をオペレータに提示する。サーバ装置300はディスプレイに警報602を表示してもよいし、ランプといった表示器を用いて警報602を提示するようにしてもよい。また、サーバ装置300は、音声により警報602をオペレータに提示してもよい。また、サーバ装置300は警報602を他のサーバ装置に送信してもよい。
***動作の説明***
図5は、本実施の形態に係る攻撃検知装置200の攻撃検知方法510および攻撃検知プログラム520の攻撃検知処理S100を示すフローチャートである。攻撃検知プログラム520は、以下に示す各処理をコンピュータである攻撃検知装置200に実行させる。
なお、図5の攻撃検知装置200の動作フローは一例であり、攻撃検知装置200の動作フローは必ずしも図5の通りでなくてもよい。
図5は、本実施の形態に係る攻撃検知装置200の攻撃検知方法510および攻撃検知プログラム520の攻撃検知処理S100を示すフローチャートである。攻撃検知プログラム520は、以下に示す各処理をコンピュータである攻撃検知装置200に実行させる。
なお、図5の攻撃検知装置200の動作フローは一例であり、攻撃検知装置200の動作フローは必ずしも図5の通りでなくてもよい。
ステップS110において、攻撃検知装置200が起動されると、攻撃検知装置200は、ホワイトリスト記憶部240にホワイトリスト209を設定する。
ステップS120において、攻撃検知装置200は、システム状態情報207の初期設定を行う。攻撃検知装置200は、システム状態情報207の初期状態として、たとえば、ホワイトリストに記載されているシステム状態を用いる。
ステップS120において、攻撃検知装置200は、システム状態情報207の初期設定を行う。攻撃検知装置200は、システム状態情報207の初期状態として、たとえば、ホワイトリストに記載されているシステム状態を用いる。
ステップS130において、サーバ装置300、機器400、および機器500といった攻撃を検知する対象の機器が動作している間は、ステップS140からステップS191までの処理を繰り返す。
ステップS140において、攻撃判定部220は、通信インタフェース部250からの通信データ206の有無を確認する。通信データ206がない場合、攻撃判定部220は、通信データ206の有無の確認を続ける。通信データ206がある場合、処理はステップS150に進む。
ステップS150において、攻撃判定部220は、通信データ206の取得を行う。
ステップS150において、攻撃判定部220は、通信データ206の取得を行う。
<攻撃判定処理S10>
ステップS160において、攻撃判定部220は、攻撃判定処理S10を実行する。
図6を用いて、本実施の形態に係る攻撃判定処理S10について説明する。
ステップS11において、攻撃判定部220は、状態記憶部241からシステム状態情報207を取得する。システム状態情報207には、現在のシステム状態41としてシステム状態411が設定されている。
ステップS12において、攻撃判定部220は、システム状態情報207に示された現在のシステム状態41に対応付けられているホワイトリスト209をホワイトリスト記憶部242から取得する。具体的には、攻撃判定部220は、現在のシステム状態41に対応する通信データホワイトリスト902をホワイトリスト記憶部242から取得する。また、攻撃判定部220は、現在のシステム状態41に対応する状態遷移ホワイトリスト901をホワイトリスト記憶部242から取得する。
ステップS160において、攻撃判定部220は、攻撃判定処理S10を実行する。
図6を用いて、本実施の形態に係る攻撃判定処理S10について説明する。
ステップS11において、攻撃判定部220は、状態記憶部241からシステム状態情報207を取得する。システム状態情報207には、現在のシステム状態41としてシステム状態411が設定されている。
ステップS12において、攻撃判定部220は、システム状態情報207に示された現在のシステム状態41に対応付けられているホワイトリスト209をホワイトリスト記憶部242から取得する。具体的には、攻撃判定部220は、現在のシステム状態41に対応する通信データホワイトリスト902をホワイトリスト記憶部242から取得する。また、攻撃判定部220は、現在のシステム状態41に対応する状態遷移ホワイトリスト901をホワイトリスト記憶部242から取得する。
ステップS13において、攻撃判定部220は、通信データ206をホワイトリスト209と照合する。攻撃判定部220は、通信インタフェース部250から取得した通信データ206と、ホワイトリスト記憶部242から取得したホワイトリスト209と照合する。具体的には、攻撃判定部220は、取得した通信データホワイトリスト902と状態推定部210により取得された通信データ206とを照合する。
ステップS14において、攻撃判定部220は、システム状態情報207に示されたシステム状態の遷移を、ホワイトリスト記憶部240から取得したホワイトリスト209と照合する。具体的には、攻撃判定部220は、取得した状態遷移ホワイトリスト901と、現在のシステム状態41に遷移する前のシステム状態42である遷移前状態412とを照合する。
ステップS14において、攻撃判定部220は、システム状態情報207に示されたシステム状態の遷移を、ホワイトリスト記憶部240から取得したホワイトリスト209と照合する。具体的には、攻撃判定部220は、取得した状態遷移ホワイトリスト901と、現在のシステム状態41に遷移する前のシステム状態42である遷移前状態412とを照合する。
ステップS15において、攻撃判定部220は、攻撃があるか否かを判定する。攻撃判定部220は、取得した通信データホワイトリスト902に状態推定部210により取得された通信データ206が適合しない場合に、攻撃を検知したと判定する。また、攻撃判定部220は、取得した状態遷移ホワイトリスト901に現在のシステム状態411に遷移する前の遷移前状態412が適合しない場合に、攻撃を検知したと判定する。具体的には、攻撃判定部220は、通信データ206がホワイトリスト209に適合し、かつ、現在のシステム状態の遷移がホワイトリスト209に適合する場合に、攻撃がないと判定する。攻撃判定部220は、通信データ206がホワイトリスト209に適合しない、あるいは、現在のシステム状態の遷移がホワイトリスト209に適合しない場合、攻撃があると判定する。攻撃があると判定されると、処理はステップS16に進む。
ステップS16において、攻撃判定部220は、異常の発生を通知する判定結果221を警報部230に出力する。攻撃がないと判定された場合、攻撃判定部220は、ステップS16の処理は行わない。
ステップS16において、攻撃判定部220は、異常の発生を通知する判定結果221を警報部230に出力する。攻撃がないと判定された場合、攻撃判定部220は、ステップS16の処理は行わない。
次に、図5に戻り説明を続ける。
<警報処理S20>
ステップS170において、警報部230は、攻撃ありか否かを判定する。具体的には、警報部230は、攻撃判定部220からの判定結果221を受け取った場合に、攻撃ありと判定する。攻撃ありと判定されると、処理はステップS180に進む。攻撃なしと判定されると、処理はステップS190に進む。
ステップS180において、警報部230は、攻撃判定部220からの判定結果221を取得し、警報231を通信インタフェース部250に送信する。通信インタフェース部250は、警報231を警報602として、サーバ装置300に送信する。
ステップS170において、警報部230は、攻撃ありか否かを判定する。具体的には、警報部230は、攻撃判定部220からの判定結果221を受け取った場合に、攻撃ありと判定する。攻撃ありと判定されると、処理はステップS180に進む。攻撃なしと判定されると、処理はステップS190に進む。
ステップS180において、警報部230は、攻撃判定部220からの判定結果221を取得し、警報231を通信インタフェース部250に送信する。通信インタフェース部250は、警報231を警報602として、サーバ装置300に送信する。
<状態推定処理S30>
ステップS190において、状態推定部210は、通信データ206からシステム状態を推定する状態推定処理S30を実行する。状態推定処理S30において、攻撃判定部220は、制御理論に基づく状態観測器により現在のシステム状態を推定する。攻撃判定部220は、サーバ装置300と機器400,500との間で通信される通信データ601を取得する。攻撃判定部220は、取得した通信データ601を、サーバ装置300から機器400,500に送信される操作量261と、機器400,500からサーバ装置300に送信される観測量262とに分類する。攻撃判定部220は、操作量261と観測量262とを用いて、状態観測器により現在のシステム状態を推定する。
ステップS190において、状態推定部210は、通信データ206からシステム状態を推定する状態推定処理S30を実行する。状態推定処理S30において、攻撃判定部220は、制御理論に基づく状態観測器により現在のシステム状態を推定する。攻撃判定部220は、サーバ装置300と機器400,500との間で通信される通信データ601を取得する。攻撃判定部220は、取得した通信データ601を、サーバ装置300から機器400,500に送信される操作量261と、機器400,500からサーバ装置300に送信される観測量262とに分類する。攻撃判定部220は、操作量261と観測量262とを用いて、状態観測器により現在のシステム状態を推定する。
図7を用いて、本実施の形態に係る状態推定処理S30について説明する。
ステップS31において、通信データ処理部211は、通信データ206を、操作量261と観測量262とに分類する。操作量261は、サーバ装置300から、機器400または機器500への通信データである。観測量262は、機器400または機器500から、サーバ装置300への通信データである。
ステップS32において、オブザーバ部212は、操作量261と観測量262とを入力に、制御理論に基づく状態観測器を用いて現在のシステム状態を推定する。オブザーバ部212は、状態観測器部ともいう。オブザーバ部212は、推定結果をシステム状態として出力する。オブザーバの設計は、システムをモデル化することによって実現され、モデル化の手法には、有限オートマトンあるいはペトリネットといった手法が考えられる。
ステップS31において、通信データ処理部211は、通信データ206を、操作量261と観測量262とに分類する。操作量261は、サーバ装置300から、機器400または機器500への通信データである。観測量262は、機器400または機器500から、サーバ装置300への通信データである。
ステップS32において、オブザーバ部212は、操作量261と観測量262とを入力に、制御理論に基づく状態観測器を用いて現在のシステム状態を推定する。オブザーバ部212は、状態観測器部ともいう。オブザーバ部212は、推定結果をシステム状態として出力する。オブザーバの設計は、システムをモデル化することによって実現され、モデル化の手法には、有限オートマトンあるいはペトリネットといった手法が考えられる。
ステップS191において、オブザーバ部212は、状態記憶部240に記憶されているシステム状態情報207のシステム状態411を、状態推定処理S30で推定したシステム状態に更新する。また、オブザーバ部212は、システム状態情報207の遷移前状態412を、現在のシステム状態に遷移する前のシステム状態に更新する。
ステップS190からステップS191の処理により、システム状態情報207の更新が終了し、検知対象の機器が動作中であれば、処理はステップS130に戻る。検知対象の機器が動作を終えている場合は、攻撃検知装置200は動作を停止する。
次に、図8を用いて、本実施の形態に係る攻撃検知装置200の具体的な動作について説明する。
制御システム700では、状態遷移パターン790にあるように、「待機」→「起動中」→「運転」→「停止中」→「待機」⇔「保守」という状態遷移が行われる。
攻撃検知装置200は、通信データ601を収集し、システム状態の推定を行い、推定したシステム状態に応じたホワイトリスト209による攻撃判定を行う。
制御システム700では、状態遷移パターン790にあるように、「待機」→「起動中」→「運転」→「停止中」→「待機」⇔「保守」という状態遷移が行われる。
攻撃検知装置200は、通信データ601を収集し、システム状態の推定を行い、推定したシステム状態に応じたホワイトリスト209による攻撃判定を行う。
(1)攻撃検知装置200が収集した通信データ206は、サーバ装置300から機器400または500へ送信される操作量261、および、機器400または500からサーバ装置300へ送信される観測量262が含まれる。状態推定部210は、通信データ206を操作量261と観測量262とに分類する。
(2)状態推定部210は、通信データ206に含まれる操作量261および観測量262から、システム状態の推定を行う。たとえば、Startコマンドが発信され、センサ1の値がオフ、センサ2の値がオフと通知される場合、システム状態は「待機」と推定される。また、Startコマンドおよびfinishコマンドが発信され、センサ1の値がオン、センサ2の値がオンと通知される場合、システム状態は「運転」と推定される。システム状態が「運転」と推定されたとき、システム状態情報207のシステム状態411には、システム状態は運転、コマンドはStartコマンドおよびfinishコマンド、センサ1の値がオン、およびセンサ2の値がオンと設定される。また、システム状態情報207の遷移前状態412には、システム状態は起動中、コマンドはなし、センサ1の値がオン、およびセンサ2の値がオフと設定される。
図8のシステム状態情報207に示すように、状態推定部210により推定されたシステム状態が蓄積されていくとしてもよい。また、蓄積されたシステム状態の各々には、システム状態への遷移のきっかけとなったコマンドが設定されているものとする。
(3)攻撃判定部220は、推定されたシステム状態に対応するホワイトリスト209により、正常な通信データ206であるか、および、正常な状態遷移であるかを判定する。上述したように、ホワイトリスト209には、状態遷移ホワイトリスト901と通信データホワイトリスト902とがある。
(3a)通信データホワイトリスト902は、システム状態ごとに許可する通信データを定義する。具体的には、システム状態「待機」において許可される通信データを、IPアドレス、ポート番号、データ長、および通信周期といった属性情報で定義する。攻撃判定部220は、状態推定部210により推定された現在のシステム状態に応じて、参照する通信データホワイトリスト902を切り替える。
(3b)状態遷移ホワイトリスト901は、具体例としては、「待機」から「起動中」へのシステム状態の遷移を許可し、反対に、定義されない「運転」から「保守」への状態遷移は異常として判定する。また、異常な状態遷移を状態推定部210で判定してもよい。
攻撃判定部220は、システム状態情報207における遷移する前のシステム状態を遷移前状態とし、現在のシステム状態を遷移後状態とする。また、攻撃判定部220は、現在のシステム状態に示されたコマンドを遷移条件とする。攻撃判定部220は、これらの遷移前状態、遷移後状態、および遷移条件を、ホワイトリスト記憶部242から取得した状態遷移ホワイトリスト901と照合する。
(4)攻撃判定部220は、判定結果221を警報部230に出力する。警報部230は、判定結果221に基づき、警報602をサーバ装置300に送信する。また、警報部230は、警報602だけでなく、フェールセーフを目的とした制御信号をサーバ装置300に送信してもよい。
図8のシステム状態情報207に示すように、状態推定部210により推定されたシステム状態が蓄積されていくとしてもよい。また、蓄積されたシステム状態の各々には、システム状態への遷移のきっかけとなったコマンドが設定されているものとする。
(3)攻撃判定部220は、推定されたシステム状態に対応するホワイトリスト209により、正常な通信データ206であるか、および、正常な状態遷移であるかを判定する。上述したように、ホワイトリスト209には、状態遷移ホワイトリスト901と通信データホワイトリスト902とがある。
(3a)通信データホワイトリスト902は、システム状態ごとに許可する通信データを定義する。具体的には、システム状態「待機」において許可される通信データを、IPアドレス、ポート番号、データ長、および通信周期といった属性情報で定義する。攻撃判定部220は、状態推定部210により推定された現在のシステム状態に応じて、参照する通信データホワイトリスト902を切り替える。
(3b)状態遷移ホワイトリスト901は、具体例としては、「待機」から「起動中」へのシステム状態の遷移を許可し、反対に、定義されない「運転」から「保守」への状態遷移は異常として判定する。また、異常な状態遷移を状態推定部210で判定してもよい。
攻撃判定部220は、システム状態情報207における遷移する前のシステム状態を遷移前状態とし、現在のシステム状態を遷移後状態とする。また、攻撃判定部220は、現在のシステム状態に示されたコマンドを遷移条件とする。攻撃判定部220は、これらの遷移前状態、遷移後状態、および遷移条件を、ホワイトリスト記憶部242から取得した状態遷移ホワイトリスト901と照合する。
(4)攻撃判定部220は、判定結果221を警報部230に出力する。警報部230は、判定結果221に基づき、警報602をサーバ装置300に送信する。また、警報部230は、警報602だけでなく、フェールセーフを目的とした制御信号をサーバ装置300に送信してもよい。
***他の構成***
本実施の形態では、通信データ処理部211と、オブザーバ部212と、攻撃判定部220と、警報部230との機能がソフトウェアで実現される。しかし、変形例として、通信データ処理部211と、オブザーバ部212と、攻撃判定部220と、警報部230との機能がハードウェアで実現されてもよい。
本実施の形態では、通信データ処理部211と、オブザーバ部212と、攻撃判定部220と、警報部230との機能がソフトウェアで実現される。しかし、変形例として、通信データ処理部211と、オブザーバ部212と、攻撃判定部220と、警報部230との機能がハードウェアで実現されてもよい。
図9を用いて、本実施の形態の変形例に係る攻撃検知装置200の構成について説明する。
図9に示すように、攻撃検知装置200は、処理回路909、入力インタフェース930、出力インタフェース940、および通信装置950といったハードウェアを備える。
図9に示すように、攻撃検知装置200は、処理回路909、入力インタフェース930、出力インタフェース940、および通信装置950といったハードウェアを備える。
処理回路909は、上述した通信データ処理部211と、オブザーバ部212と、攻撃判定部220と、警報部230との機能および記憶部240を実現する専用の電子回路である。処理回路909は、具体的には、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックIC、GA、ASIC、または、FPGAである。GAは、Gate Arrayの略語である。ASICは、Application Specific Integrated Circuitの略語である。FPGAは、Field−Programmable Gate Arrayの略語である。
通信データ処理部211と、オブザーバ部212と、攻撃判定部220と、警報部230との機能は、1つの処理回路909で実現されてもよいし、複数の処理回路909に分散して実現されてもよい。
別の変形例として、攻撃検知装置200の機能がソフトウェアとハードウェアとの組合せで実現されてもよい。すなわち、攻撃検知装置200の一部の機能が専用のハードウェアで実現され、残りの機能がソフトウェアで実現されてもよい。
攻撃検知装置200のプロセッサ910、記憶装置920、および、処理回路909を、総称して「プロセッシングサーキットリ」という。つまり、攻撃検知装置200の構成が図2および図9のいずれに示した構成であっても、通信データ処理部211と、オブザーバ部212と、攻撃判定部220と、警報部230との機能および記憶部240は、プロセッシングサーキットリにより実現される。
「部」を「工程」または「手順」または「処理」に読み替えてもよい。また、「部」の機能をファームウェアで実現してもよい。
***本実施の形態の効果の説明***
本実施の形態に係る攻撃検知装置200では、制御理論に基づく状態観測器により通信データからシステム状態を推定し、推定したシステム状態に応じたホワイトリストで攻撃検知を行う。このように、本実施の形態に係る攻撃検知装置200によれば、通信データからシステム状態を推定するため、設備に状態通知機能を組込む改修は必要なく、既設の設備であっても容易に導入が可能である。
本実施の形態に係る攻撃検知装置200では、制御理論に基づく状態観測器により通信データからシステム状態を推定し、推定したシステム状態に応じたホワイトリストで攻撃検知を行う。このように、本実施の形態に係る攻撃検知装置200によれば、通信データからシステム状態を推定するため、設備に状態通知機能を組込む改修は必要なく、既設の設備であっても容易に導入が可能である。
また、本実施の形態に係る攻撃検知装置200では、通信データからシステム状態が推定される。そして、本実施の形態に係る攻撃検知装置200は、推定されたシステム状態ごとに用意されたホワイトリストを用いて通信システムに対する攻撃を検知する。したがって、本実施の形態によれば、コントローラ単位のホワイトリストでは正常と判定される通信が組み合わされることにより異常動作を引き起こす攻撃を、攻撃検知装置200をネットワークへ接続するだけで検知することができる。このとき、本実施の形態では、サーバ装置およびコントローラである機器といった監視対象機器の改修をする必要がない。
本実施の形態に係る攻撃検知装置200は、通信システムに含まれる監視対象機器の全ての通信を監視するネットワーク型侵入および攻撃検知装置である。したがって、本実施の形態によれば、監視対象機器に検知機能を組込むための改修のコストが必要ない。
本実施の形態に係る攻撃検知装置200は、システム状態に応じてホワイトリストを切り替えて攻撃の検知を行う。したがって、本実施の形態に係る攻撃検知装置200は、監視対象機器ごとの並列的な検知処理を行わない。また、本実施の形態に係る攻撃検知装置200は、必要最小限のホワイトリストで攻撃の検知を行う。このため、本実施の形態に係る攻撃検知装置200では、高性能な計算リソースおよび膨大なホワイトリストを必要としない。
また、本実施の形態に係る攻撃検知装置200は、攻撃者に乗っ取られたコンピュータから通信シーケンスにしたがった通信を伴う攻撃が行われた場合でも、システム状態を推定し、システム状態に対応するホワイトリストを通信データに適用することにより、当該攻撃を検知することができる。
本実施の形態に係る攻撃検知装置200によれば、リモート端末以外の端末、制御監視装置あるいは保守端末からの攻撃であっても、制御系あるいは保守系ネットワークを介する攻撃を検知することができる。
本実施の形態に係る攻撃検知装置200は、状態通知するパケットを使用するのではなく、通信データから状態を推定することで、システム状態を定義する。したがって、本実施の形態に係る攻撃検知装置200は、状態通知パケットを改ざんするような攻撃の対策となる。
本実施の形態に係る攻撃検知装置200は、システム状態を操作量および観測量だけでは決定できない場合でも、推定を用いることで、システム状態を決定できる。
本実施の形態では、通信データ処理部211と、オブザーバ部212と、攻撃判定部220と、警報部230との各々が独立した機能ブロックとして攻撃検知装置200を構成している。しかし、上述した実施の形態のような構成でなくてもよく、攻撃検知装置200の構成は任意である。攻撃検知装置200の機能ブロックは、上述した実施の形態で説明した機能を実現することができれば、任意である。これらの機能ブロックを、他のどのような組み合わせ、あるいは任意のブロック構成で、攻撃検知装置を構成しても構わない。
また、攻撃検知装置は、1つの装置でなく、複数の装置から構成された攻撃検知システムでもよい。
また、攻撃検知装置は、1つの装置でなく、複数の装置から構成された攻撃検知システムでもよい。
実施の形態1について説明したが、この実施の形態のうち、複数の部分を組み合わせて実施しても構わない。あるいは、この実施の形態のうち、1つの部分を実施しても構わない。その他、この実施の形態を、全体としてあるいは部分的に、どのように組み合わせて実施しても構わない。
なお、上述した実施の形態は、本質的に好ましい例示であって、本発明、その適用物および用途の範囲を制限することを意図するものではなく、必要に応じて種々の変更が可能である。
なお、上述した実施の形態は、本質的に好ましい例示であって、本発明、その適用物および用途の範囲を制限することを意図するものではなく、必要に応じて種々の変更が可能である。
41 現在のシステム状態、42 遷移する前のシステム状態、100 システム構成例、101 情報系ネットワーク、102,600 制御系ネットワーク、103 フィールドネットワーク、104 サーバ装置、105 コントローラ、106 フィールドデバイス、200 攻撃検知装置、206,601 通信データ、207 システム状態情報、209 ホワイトリスト、210 状態推定部、211 通信データ処理部、212 オブザーバ部、220 攻撃判定部、221 判定結果、230 警報部、231,602 警報、240 記憶部、241 状態記憶部、242 ホワイトリスト記憶部、250 通信インタフェース部、261 操作量、262 観測量、300 サーバ装置、400,500 機器、411 システム状態、412 遷移前状態、510 攻撃検知方法、520 攻撃検知プログラム、700 制御システム、701 システム情報、790 状態遷移パターン、901 状態遷移ホワイトリスト、902 通信データホワイトリスト、909 処理回路、910 プロセッサ、920 記憶装置、921 メモリ、922 補助記憶装置、930 入力インタフェース、940 出力インタフェース、950 通信装置、S10 攻撃判定処理、S20 警報処理、S30 状態推定処理、S100 攻撃検知処理。
Claims (8)
- 機器と前記機器を制御するサーバ装置とを有する制御システムであって複数のシステム状態を遷移する制御システムに対する攻撃を検知する攻撃検知装置において、
前記複数のシステム状態のシステム状態ごとに、前記制御システムに属するシステム情報であって前記システム状態において許可されるシステム情報を定義したホワイトリストを対応付けて記憶したホワイトリスト記憶部と、
前記サーバ装置と前記機器との間で通信される通信データを取得し、取得した通信データに基づいて、前記制御システムの現在のシステム状態を推定する状態推定部と、
前記現在のシステム状態に対応するホワイトリストを前記ホワイトリスト記憶部から取得し、取得したホワイトリストと前記現在のシステム状態における前記制御システムに属するシステム情報とに基づいて、前記攻撃を検知したか否かを判定する攻撃判定部と
を備えた攻撃検知装置。 - 前記ホワイトリスト記憶部は、
前記複数のシステム状態のシステム状態ごとに、前記システム状態において許可される通信データを前記システム情報として定義した通信データホワイトリストを前記ホワイトリストとして対応付けて記憶し、
前記攻撃判定部は、
前記現在のシステム状態に対応する通信データホワイトリストを前記ホワイトリスト記憶部から取得し、取得した通信データホワイトリストに前記状態推定部により取得された通信データが適合しない場合に、前記攻撃を検知したと判定する請求項1に記載の攻撃検知装置。 - 前記攻撃検知装置は、
前記現在のシステム状態と前記現在のシステム状態に遷移する前のシステム状態とを記憶する状態記憶部を備え、
前記ホワイトリスト記憶部は、
前記複数のシステム状態のシステム状態ごとに、前記システム状態に遷移する前のシステム状態として許可される遷移前状態を前記システム情報として定義した状態遷移ホワイトリストを前記ホワイトリストとして対応付けて記憶し、
前記攻撃判定部は、
前記現在のシステム状態に対応する状態遷移ホワイトリストを前記ホワイトリスト記憶部から取得し、取得した状態遷移ホワイトリストに前記状態記憶部に記憶された前記現在のシステム状態に遷移する前のシステム状態が適合しない場合に、前記攻撃を検知したと判定する請求項1または2に記載の攻撃検知装置。 - 前記攻撃検知装置は、
前記攻撃判定部により前記攻撃を検知したと判定された場合に、前記サーバ装置に警報を送信する警報部を備えた請求項1から3のいずれか1項に記載の攻撃検知装置。 - 前記攻撃判定部は、
制御理論に基づく状態観測器により前記現在のシステム状態を推定する請求項1から4のいずれか1項に記載の攻撃検知装置。 - 前記攻撃判定部は、
前記サーバ装置と前記機器との間で通信される通信データを取得し、取得した通信データを、前記サーバ装置から前記機器に送信される操作量と、前記機器から前記サーバ装置に送信される観測量とに分類し、前記操作量と前記観測量とを用いて、前記状態観測器により前記現在のシステム状態を推定する請求項5に記載の攻撃検知装置。 - 機器と前記機器を制御するサーバ装置とを有する制御システムであって複数のシステム状態を遷移する制御システムに対する攻撃を検知する攻撃検知装置の攻撃検知方法において、
前記攻撃検知装置は、前記複数のシステム状態のシステム状態ごとに、前記制御システムに属するシステム情報であって前記システム状態において許可されるシステム情報を定義したホワイトリストを対応付けて記憶したホワイトリスト記憶部を備え、
状態推定部が、前記サーバ装置と前記機器との間で通信される通信データを取得し、取得した通信データに基づいて、前記制御システムの現在のシステム状態を推定し、
攻撃判定部が、前記現在のシステム状態に対応するホワイトリストを前記ホワイトリスト記憶部から取得し、取得したホワイトリストと前記現在のシステム状態における前記制御システムに属するシステム情報とに基づいて、前記攻撃を検知したか否かを判定する攻撃検知方法。 - 機器と前記機器を制御するサーバ装置とを有する制御システムであって複数のシステム状態を遷移する制御システムに対する攻撃を検知する攻撃検知装置の攻撃検知プログラムにおいて、
前記攻撃検知装置は、前記複数のシステム状態のシステム状態ごとに、前記制御システムに属するシステム情報であって前記システム状態において許可されるシステム情報を定義したホワイトリストを対応付けて記憶したホワイトリスト記憶部を備え、
前記サーバ装置と前記機器との間で通信される通信データを取得し、取得した通信データに基づいて、前記制御システムの現在のシステム状態を推定する状態推定処理と、
前記現在のシステム状態に対応するホワイトリストを前記ホワイトリスト記憶部から取得し、取得したホワイトリストと前記現在のシステム状態における前記制御システムに属するシステム情報とに基づいて、前記攻撃を検知したか否かを判定する攻撃判定処理とをコンピュータである前記攻撃検知装置に実行させる攻撃検知プログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2017/001690 WO2018134939A1 (ja) | 2017-01-19 | 2017-01-19 | 攻撃検知装置、攻撃検知方法および攻撃検知プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP6509462B2 true JP6509462B2 (ja) | 2019-05-08 |
| JPWO2018134939A1 JPWO2018134939A1 (ja) | 2019-06-27 |
Family
ID=62908309
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018562802A Active JP6509462B2 (ja) | 2017-01-19 | 2017-01-19 | 攻撃検知装置、攻撃検知方法および攻撃検知プログラム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20200314130A1 (ja) |
| EP (1) | EP3547190B1 (ja) |
| JP (1) | JP6509462B2 (ja) |
| CN (1) | CN110168551A (ja) |
| WO (1) | WO2018134939A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022249842A1 (ja) | 2021-05-26 | 2022-12-01 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 異常検知システム、異常検知方法およびプログラム |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019125914A (ja) * | 2018-01-16 | 2019-07-25 | アラクサラネットワークス株式会社 | 通信装置及びプログラム |
| JP7378089B2 (ja) * | 2018-06-13 | 2023-11-13 | パナソニックIpマネジメント株式会社 | 不正通信検知装置、不正通信検知方法及び製造システム |
| WO2021199160A1 (ja) * | 2020-03-30 | 2021-10-07 | 日本電気株式会社 | 情報処理装置、情報処理方法、記録媒体、情報処理システム |
| WO2023058212A1 (ja) * | 2021-10-08 | 2023-04-13 | 三菱電機株式会社 | 制御装置 |
| CN114371682B (zh) * | 2021-11-05 | 2024-04-05 | 中国科学院信息工程研究所 | Plc控制逻辑攻击检测方法及装置 |
| JP7325695B1 (ja) * | 2023-01-23 | 2023-08-14 | 三菱電機株式会社 | データ処理装置、データ処理方法及びデータ処理プログラム |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016114077A1 (ja) * | 2015-01-16 | 2016-07-21 | 三菱電機株式会社 | データ判定装置、データ判定方法及びプログラム |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4626852B2 (ja) * | 2005-07-11 | 2011-02-09 | 日本電気株式会社 | 通信網の障害検出システム、通信網の障害検出方法及び障害検出プログラム |
| US9245147B1 (en) * | 2013-01-30 | 2016-01-26 | White Badger Group, LLC | State machine reference monitor for information system security |
| WO2014155650A1 (ja) | 2013-03-29 | 2014-10-02 | 株式会社日立製作所 | 情報制御装置、情報制御システム、及び情報制御方法 |
| US9660994B2 (en) * | 2014-09-30 | 2017-05-23 | Schneider Electric USA, Inc. | SCADA intrusion detection systems |
-
2017
- 2017-01-19 CN CN201780082931.2A patent/CN110168551A/zh active Pending
- 2017-01-19 EP EP17893204.2A patent/EP3547190B1/en active Active
- 2017-01-19 WO PCT/JP2017/001690 patent/WO2018134939A1/ja unknown
- 2017-01-19 US US16/464,150 patent/US20200314130A1/en not_active Abandoned
- 2017-01-19 JP JP2018562802A patent/JP6509462B2/ja active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016114077A1 (ja) * | 2015-01-16 | 2016-07-21 | 三菱電機株式会社 | データ判定装置、データ判定方法及びプログラム |
Non-Patent Citations (2)
| Title |
|---|
| 中井 綱人 ほか: "プラント制御システム向けホワイトリスト型攻撃検知機能の設計", SCIS2016 [USB], vol. 2B2−4, JPN6017005603, 19 January 2016 (2016-01-19), JP, pages pp.1−8 * |
| 清水 孝一 ほか: "ホワイトリスト型攻撃検知における検知ルールの自動生成", SCIS2016 [USB], vol. 2B2−5, JPN6017005604, 19 January 2016 (2016-01-19), JP, pages pp.1−7 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022249842A1 (ja) | 2021-05-26 | 2022-12-01 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 異常検知システム、異常検知方法およびプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2018134939A1 (ja) | 2018-07-26 |
| JPWO2018134939A1 (ja) | 2019-06-27 |
| US20200314130A1 (en) | 2020-10-01 |
| CN110168551A (zh) | 2019-08-23 |
| EP3547190B1 (en) | 2020-12-23 |
| EP3547190A4 (en) | 2019-11-13 |
| EP3547190A1 (en) | 2019-10-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6509462B2 (ja) | 攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
| US8677484B2 (en) | Providing protection against unauthorized network access | |
| JP6054010B2 (ja) | データ判定装置、データ判定方法及びプログラム | |
| US10235516B2 (en) | Method for authenticating a networked endpoint using a physical (power) challenge | |
| JP6703616B2 (ja) | セキュリティ脅威を検出するためのシステム及び方法 | |
| US8560688B2 (en) | Monitoring sensors for systems management | |
| KR101839647B1 (ko) | 프로세스별 네트워킹 기능 관리 기법 | |
| KR101972295B1 (ko) | 침입 검지 장치 및 기억 매체에 저장된 침입 검지 프로그램 | |
| JP6391891B2 (ja) | 侵入検知装置、侵入検知方法及び侵入検知プログラム | |
| CN110178137B (zh) | 数据判定装置、数据判定方法以及计算机能读取的存储介质 | |
| US10893058B1 (en) | Malware detection and alerting for network connected devices based on traffic flow analysis on local network | |
| CN106775971B (zh) | 数据处理装置 | |
| WO2015030999A1 (en) | Agentless monitoring of computer systems | |
| JP2024520564A (ja) | Iotデバイスを管理するためのシステム | |
| US11811803B2 (en) | Method of threat detection | |
| KR20190075558A (ko) | 단말 장치 및 단말 장치의 제어 방법 | |
| US10997288B2 (en) | Detecting a compromised system using an integrated management controller |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190208 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20190208 |
|
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20190225 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190305 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190402 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6509462 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |