JP6516923B2 - ホワイトリスト生成器、ホワイトリスト評価器およびホワイトリスト生成・評価器、並びにホワイトリスト生成方法、ホワイトリスト評価方法およびホワイトリスト生成・評価方法 - Google Patents
ホワイトリスト生成器、ホワイトリスト評価器およびホワイトリスト生成・評価器、並びにホワイトリスト生成方法、ホワイトリスト評価方法およびホワイトリスト生成・評価方法 Download PDFInfo
- Publication number
- JP6516923B2 JP6516923B2 JP2018511391A JP2018511391A JP6516923B2 JP 6516923 B2 JP6516923 B2 JP 6516923B2 JP 2018511391 A JP2018511391 A JP 2018511391A JP 2018511391 A JP2018511391 A JP 2018511391A JP 6516923 B2 JP6516923 B2 JP 6516923B2
- Authority
- JP
- Japan
- Prior art keywords
- whitelist
- state machine
- model
- state
- generator
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 28
- 238000011156 evaluation Methods 0.000 title description 14
- 238000012795 verification Methods 0.000 claims description 31
- 238000006243 chemical reaction Methods 0.000 claims description 27
- 238000004891 communication Methods 0.000 claims description 21
- 238000001514 detection method Methods 0.000 claims description 15
- 238000004088 simulation Methods 0.000 claims description 4
- 230000005540 biological transmission Effects 0.000 description 19
- 230000007704 transition Effects 0.000 description 13
- 238000010586 diagram Methods 0.000 description 12
- 230000009471 action Effects 0.000 description 8
- 238000012545 processing Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 6
- 230000006872 improvement Effects 0.000 description 5
- 230000004044 response Effects 0.000 description 5
- 238000012423 maintenance Methods 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000009467 reduction Effects 0.000 description 2
- 102100030695 Electron transfer flavoprotein subunit alpha, mitochondrial Human genes 0.000 description 1
- 101001010541 Homo sapiens Electron transfer flavoprotein subunit alpha, mitochondrial Proteins 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
Description
この発明は、産業制御システムのように運用形態が固定的なシステムにおいて、適切にホワイトリスト型侵入検知を行うためのホワイトリスト生成器、ホワイトリスト評価器およびホワイトリスト生成・評価器、並びにホワイトリスト生成方法、ホワイトリスト評価方法およびホワイトリスト生成・評価方法に関する。
近年、産業制御システムに対するサイバー攻撃が増加していることから、対策が求められている。ネットワークからのサイバー攻撃を防ぐ技術として、ホワイトリスト型侵入検知技術が知られている。この技術は、通信を許可するパケットをあらかじめホワイトリストと呼ばれるリストに定義し、それ以外のパケットを受信した場合に、攻撃として検知するものである。
産業制御システムは、一般的な情報システムと比較して運用形態が固定的であり、送受信されるパケットが固定的であるため、通信を許可するパケットをあらかじめホワイトリストとして定義することが可能と考えられる。そのため、産業制御システムにおけるサイバー攻撃対策として、ホワイトリスト型侵入検知技術に対する期待が高まっている。
なお、ホワイトリスト型侵入検知では、ホワイトリストの生成コストおよびホワイトリストの精度が課題であり、ホワイトリストの生成コストの削減や、正確なホワイトリストの生成を実現することができる技術が求められている。ここで、ホワイトリストの生成コストの削減に関連する技術として、自動生成がある。
ホワイトリストを自動生成する技術として、周期性を持つ通信パターンを決定性有限オートマトンでモデル化し、そのモデルをホワイトリストとする方法が提案されている(例えば、非特許文献1参照)。このモデルは、100パケット程度のサンプルを用いて自動生成されるため、ホワイトリストの生成コストを低く抑えることができる。
また、ホワイトリストを自動生成する技術として、IEC61850によって規定される変電所の制御システムにおいて、システムの仕様がSCD(Substation Configuration Description)と呼ばれる形式のファイルに記述されることに注目し、このSCDファイルに基づいてホワイトリストを自動生成する方法が提案されている(例えば、非特許文献2参照)。
SCDが決まったファイル形式であることから、通信パターンに関するデータを自動的に抽出することが可能であり、したがって、ホワイトリストを自動的に生成することが可能となる。また、生成の自動化によってホワイトリストの生成コストを削減することができ、同時に、手動で生成する場合と比較してミスが混入しにくいため、ホワイトリストの正確さを向上させることができる。
Goldenberg他著、「Accurate Modeling of Modbus/TCP for Intrusion Detection in SCADA Systems」、International Journal of Critical Infrastructure Protection,vol.6,no.2,2013年
Hadeli他著、「Leveraging Determinism in Industrial Control Systems for Advanced Anomaly Detection and Reliable Security Configuration」、IEEE ETFA 2009、2009年
しかしながら、非特許文献1では、観測したパケットに基づいてホワイトリストを生成しているため、観測したパケットの網羅性に疑問が残り、また、観測期間中に攻撃パケットが混入する可能性があるという問題がある。
また、非特許文献2では、自動生成の元となるSCDファイルの作成時にミスが混入する可能性があり、結果としてホワイトリストの定義のミスが生じる恐れがあるという問題がある。また、実装された侵入検知プログラムが、ホワイトリストの定義通りに検知することが保証されていないという問題もある。
この発明は、上記のような課題を解決するためになされたものであり、自動生成の元となる正常通信の仕様に関するデータの正確さを保証し、ホワイトリストの生成フロー全体を通して、生成されるホワイトリストの正確さを保証することができるホワイトリスト生成器、ホワイトリスト評価器およびホワイトリスト生成・評価器、並びにホワイトリスト生成方法、ホワイトリスト評価方法およびホワイトリスト生成・評価方法を得ることを目的とする。
この発明に係るホワイトリスト生成器は、互いにデータを送受信する複数の装置からなるシステムに適用されて、ホワイトリスト型侵入検知を行うために、システム状態に対応するホワイトリストを生成するホワイトリスト生成器であって、入力されたモデルであるステートマシンに対してシミュレーションまたは形式手法と呼ばれる数学的に正確さが証明される手法によって、前記ステートマシンに論理的な矛盾がないことを検証することで、システムにおける正常通信が正しくモデル化されているか否かを検証するモデル検証部と、システム状態に対応してステートマシンに論理的な矛盾がないことが検証されたステートマシンをホワイトリストに変換することで、システム状態に対応するホワイトリストに変換するモデル変換部とを備えたものである。
この発明に係るホワイトリスト生成器によれば、互いにデータを送受信する複数の装置からなるシステムに適用されて、ホワイトリスト型侵入検知を行うためのホワイトリストを生成するためのものであって、入力されたモデルに基づいて、システムにおける正常通信が正しくモデル化されているか否かを検証するモデル検証部と、モデルに論理的な矛盾がないことが検証されたモデルをホワイトリストに変換するモデル変換部とを備えている。
そのため、自動生成の元となる正常通信の仕様に関するデータの正確さを保証し、ホワイトリストの生成フロー全体を通して、生成されるホワイトリストの正確さを保証することができる。
そのため、自動生成の元となる正常通信の仕様に関するデータの正確さを保証し、ホワイトリストの生成フロー全体を通して、生成されるホワイトリストの正確さを保証することができる。
以下、この発明に係るホワイトリスト生成器、ホワイトリスト評価器およびホワイトリスト生成・評価器の好適な実施の形態につき図面を用いて説明するが、各図において同一、または相当する部分については、同一符号を付して説明する。
実施の形態1.
図1は、この発明の適用対象となる産業制御システムを示すブロック構成図である。図1において、この産業制御システムでは、監視制御端末102とコントローラ104およびコントローラ105とが、保守ネットワーク103を介して互いに接続されており、監視制御端末102は、保守ネットワーク103を介して、コントローラ104およびコントローラ105の監視制御を行う。
図1は、この発明の適用対象となる産業制御システムを示すブロック構成図である。図1において、この産業制御システムでは、監視制御端末102とコントローラ104およびコントローラ105とが、保守ネットワーク103を介して互いに接続されており、監視制御端末102は、保守ネットワーク103を介して、コントローラ104およびコントローラ105の監視制御を行う。
また、監視制御端末102は、情報系ネットワーク101に接続されており、コントローラ104およびコントローラ105から収集した情報を、情報系ネットワーク101に接続される図示しないサーバ等に送信することができる。
また、ホワイトリスト型侵入検知部106は、保守ネットワーク103に接続されており、保守ネットワーク103で送受信される通信パケットに対して侵入検知を行うことができる。ここで、ホワイトリスト型侵入検知部106が侵入検知を行うためのルール、すなわちホワイトリストの生成が必要となる。
図2は、この発明の実施の形態1に係るホワイトリスト生成器を示すブロック構成図である。図2において、ホワイトリスト生成器201は、モデル202を入力とし、ホワイトリスト204を出力とする。また、ホワイトリスト生成器201は、モデル変換部203およびモデル検証部205を備えている。
モデル変換部203は、入力されたモデル202をホワイトリストに変換して出力する。モデル検証部205は、入力されたモデル202を検証し、検証結果をフィードバックすることで、必要に応じてモデル202を改善する。また、モデル検証部205は、改善されたモデル202を出力することもできる。
図3は、この発明の実施の形態1に係るホワイトリスト生成器の入力となるモデルを示す概略図である。図3は、図1に示したような産業制御システムをモデル化したものであり、装置A301および装置B302は、それぞれ例えば監視制御端末102およびコントローラ104に対応している。
装置A301と装置B302とは、通信で互いに接続され、例えば装置A301から装置B302にコマンドが送信され、装置B302でコマンドに対応する処理が行われ、装置B302から装置A301にコマンドに対する処理の結果が送信される。
装置A301および装置B302には、それぞれ図示されるようなブロックによって制御ロジック303および制御ロジック304が定義されている。また、制御ロジック303および制御ロジック304の中には、それぞれ図示されるような通信の動作を定義したステートマシン305およびステートマシン306が含まれており、産業制御システムにおける正常通信がモデル化される。
この発明では、制御ロジック303および制御ロジック304は処理の対象とせず、ステートマシン305およびステートマシン306で示されるような正常通信のモデルを処理の対象とする。また、これ以降、ステートマシンのことをモデルと表記することもある。
図4は、この発明の実施の形態1に係るホワイトリスト生成器のステートマシンの具体例を示す説明図である。図4において、ステートマシン401は、装置A301に対応し、ステートマシン402は、装置B302に対応している。また、ステートマシン401とステートマシン402との間は互いに接続され、データの送受信が可能になっている。
ステートマシン401を構成する状態は、状態403のようなシステム状態を表すものと、状態405のようなデータ送受信状態を表すものとがある。図4では、システム状態を表すものを二重引用符付きで表記し、データ送受信状態を表すものを二重引用符なしで表記しているが、両者を区別できれば、どのような表記であってもよい。
図4では、状態403、状態404、状態407で示されるように、システム状態が「停止」、「運転」、「異常」の3種類ある。システムの停止中は、「停止」の状態403にあり、システムが運転を開始すると「運転」の状態404に遷移する。また、システムで異常が発生すると「異常」の状態407に遷移する。
通常は、「運転」の状態404で待機し、何らかのトリガーによって状態405に遷移し、データ送受信が開始されて、一連のデータ送受信が終了すると、再び「運転」の状態404に戻る。トリガーは、例えば図1の監視制御端末102の操作盤上で、コントローラ104のステータス取得のために、GUI操作が行われたこと等に対応する。
図4において、ステートマシン401からステートマシン402へのコマンド送受信は、次のようにして発生する。図4では、状態遷移のトリガーとなる条件を角括弧で表記し、状態遷移の際に発生するアクションを波括弧で表記している。
始めに、ステートマシン401およびステートマシン402は、ともに「運転」の状態で待機しているとする。ここで、ステートマシン401においてトリガーである「ステータス取得」が満たされると、状態404から状態405に遷移する。その際、状態遷移のアクションとして記述された「Write送信」が実行されることによって、「Write」コマンドがステートマシン402に送信される。
次に、ステートマシン402は、ステートマシン401から送信された「Write」コマンドを受け取り、トリガーとして記述された「Write受信」が満たされ、状態408から409に遷移する。その際、状態遷移のアクションとして記述された「Write応答送信」が実行されることで、ステートマシン402からステートマシン401に「Write応答」コマンドが送信される。
続いて、ステートマシン401は、ステートマシン402から送信された「Write応答」コマンドを受け取り、トリガーとして記述された「Write応答受信」が満たされ、状態405から状態406に遷移する。以下、同様にして、ステートマシン401とステートマシン402との間で、コマンドおよびその応答の送受信が繰り返され、最終的にそれぞれ状態404および状態408に戻る。
図5は、図4で記述された正常通信のモデルに対応するホワイトリストの具体例を示す説明図である。図5において、ホワイトリストは、状態501、送信元502、送信先503およびコマンド504の4種類のフィールドで構成されている。
ここで、状態501は、図4におけるシステム状態に対応して決定される。また、送信元502および送信先503は、図4でデータが送受信される際の送信元および送信先に対応して決定される。また、コマンド504は、図4でアクションとして送信されるコマンドに対応して決定される。
なお、図4および図5の具体例は、状態、送信元、送信先、コマンドの4種類のフィールドから構成されるホワイトリストに対応しているが、ホワイトリストがこれら以外のフィールドから構成されていてもよい。
続いて、図2に示したホワイトリスト生成器201におけるモデル変換部203およびモデル検証部205の動作について説明する。モデル変換部203は、図4と図5との対応関係に従って、ステートマシンからホワイトリストへの変換を実現する。モデル検証部205は、モデルベース開発で一般的に行われるモデルのシミュレーションや、形式手法と呼ばれる数学的に正確さが証明される手法によってモデルの検証を実現する。
次に、システム状態に基づいてホワイトリストを生成する動作を以下に説明する。図6Aは、この発明の実施の形態1に係るホワイトリスト生成器において、システム状態に基づいてホワイトリストを生成する動作を示す説明図である。
図6Aにおいて、ステートマシン601によって模式的に記述されるように、システム状態によって送受信されるコマンドは変化し、したがって、許可すべきコマンドは変化する。
そこで、コマンド送受信602、603、604に示されるように、ステートマシンに記述されたコマンド送受信がどのシステム状態に属するかを分類し、その分類に基づいて各システム状態で許可するコマンドを抽出することによって、システム状態に基づくホワイトリストが生成される。
図6Bは、この発明の実施の形態1に係るホワイトリスト生成器において、システム状態に基づいてホワイトリストを生成する動作を示すフローチャートである。図6Bにおいて、まず、ステートマシンが入力される(ステップS605)。
続いて、各システム状態Sに関するループ処理が行われる(ステップS606〜ステップS609)。まず、システム状態Sを根とする深さ優先探索が行われる(ステップS607)。
一般に、深さ優先探索では、探索済みのノードを見つけた場合に探索をさかのぼるが、ステップS607では、それに加えて、システム状態S以外のシステム状態を見つけた場合も探索をさかのぼることとする。
続いて、探索中に見つかったコマンドにSの印を付ける(ステップS608)。これにより、そのコマンドがシステム状態Sで許可されるコマンドであることが表される。以上により、システム状態に基づくホワイトリストが生成される。
図7は、この発明の実施の形態1に係るホワイトリスト生成器の動作を示すフローチャートである。図7において、まず、モデルが入力される(ステップS701)。続いて、モデルが検証される(ステップS702)。
次に、モデルの検証結果が良好であるか否かが判定される(ステップS703)。ここで、モデルの検証結果が良好でない(すなわち、Yes)と判定された場合には、検証結果に基づいてモデルが改善され(ステップS704)、ステップS703に戻って再びモデルが検証される。
一方、ステップS703において、モデルの検証結果が良好である(すなわち、No)と判定された場合には、モデルに含まれる状態遷移のアクションの記述から、コマンド送信の記述が抽出される(ステップS705)。続いて、ステップS705で抽出されたコマンドを許可するルールが作成され、ホワイトリストとして出力されて(ステップS706)、図7の処理が終了する。
図8は、この発明の実施の形態1に係るホワイトリスト生成器を示すハードウェア構成図である。図8において、ホワイトリスト生成器801は、CPU802、主記憶装置803、補助記憶装置804、入力インターフェース806、表示インターフェース807およびネットワークインターフェース808から構成され、これらがバス805によって接続されている。
図2に示したホワイトリスト生成器201に対して入力されるモデル202や出力されるホワイトリスト204は、例えば補助記憶装置804に格納され、必要に応じて主記憶装置803に転送され、CPU802による処理対象となる。また、図2に示したホワイトリスト生成器201におけるモデル変換部203やモデル検証部205の処理は、CPU802によって処理される。
このように、システムの正常通信を検証可能なモデルで表し、検証によってモデルの正確さを保証し、正確さが保証されたモデルからホワイトリストを自動的に生成することによって、手動でホワイトリストを生成するのに必要となるコストを削減し、手動でホワイトリストを生成する場合に発生するミスを防止することに加え、ホワイトリストの正確さを向上させることができる。
以上のように、実施の形態1によれば、互いにデータを送受信する複数の装置からなるシステムに適用されて、ホワイトリスト型侵入検知を行うためのホワイトリストを生成するためのものであって、入力されたモデルに基づいて、システムにおける正常通信が正しくモデル化されているか否かを検証するモデル検証部と、モデルに論理的な矛盾がないことが検証されたモデルをホワイトリストに変換するモデル変換部とを備えている。
そのため、自動生成の元となる正常通信の仕様に関するデータの正確さを保証し、ホワイトリストの生成フロー全体を通して、生成されるホワイトリストの正確さを保証することができる。
そのため、自動生成の元となる正常通信の仕様に関するデータの正確さを保証し、ホワイトリストの生成フロー全体を通して、生成されるホワイトリストの正確さを保証することができる。
実施の形態2.
上記実施の形態1では、図4に示したステートマシンと図5に示したホワイトリストとの対応関係により、モデルをホワイトリストに変換する方法について説明したが、これとは逆に、ホワイトリストをモデルに変換することも可能である。
上記実施の形態1では、図4に示したステートマシンと図5に示したホワイトリストとの対応関係により、モデルをホワイトリストに変換する方法について説明したが、これとは逆に、ホワイトリストをモデルに変換することも可能である。
図9は、この発明の実施の形態2に係るホワイトリスト生成器を示すブロック構成図である。図9において、ホワイトリスト生成器901は、ホワイトリスト906を入力とし、モデル902を出力とする。また、ホワイトリスト生成器901は、ホワイトリスト変換部(第1ホワイトリスト変換部)903、モデル変換部904およびモデル検証部905を備えている。
ホワイトリスト変換部903は、入力されたホワイトリスト906をモデルに変換して出力する。モデル検証部905は、変換されたモデルを検証し、検証結果をフィードバックすることで、必要に応じてモデルを改善し、モデル902として出力する。また、モデル変換部904は、改善されたモデルをホワイトリストに変換し、改善されたホワイトリスト906として出力する。
図10は、この発明の実施の形態2に係るホワイトリスト生成器の動作を示すフローチャートである。図10において、まず、ホワイトリストが入力される(ステップS1001)。
続いて、ホワイトリストで許可されているコマンドの送信を表すアクションが作成される(ステップS1002)。次に、アクションを持つ状態遷移が作成され、その状態遷移を含むモデルが作成される(ステップS1003)。
続いて、モデルが検証される(ステップS1004)。次に、モデルの検証結果が良好であるか否かが判定される(ステップS1005)。ここで、モデルの検証結果が良好でない(すなわち、Yes)と判定された場合には、検証結果に基づいてモデルが改善され(ステップS1006)、ステップS1004に戻って再びモデルが検証される。
一方、ステップS1005において、モデルの検証結果が良好である(すなわち、No)と判定された場合には、モデルに含まれる状態遷移のアクションの記述から、コマンド送信の記述が抽出される(ステップS1007)。続いて、ステップS1007で抽出されたコマンドを許可するルールが作成され、ホワイトリストとして出力されて(ステップS1008)、図10の処理が終了する。
このように、ホワイトリストを検証可能なモデルに変換し、モデルの検証によってモデルのミスを発見、修正し、それを再度ホワイトリストに変換することによって、既存のホワイトリストに対しても正確さを向上させることができる。
実施の形態3.
上記実施の形態1および実施の形態2では、適用対象となる産業制御システムをモデル化し、モデル化された正常通信からホワイトリストを生成する場合の実施の形態について説明した。
上記実施の形態1および実施の形態2では、適用対象となる産業制御システムをモデル化し、モデル化された正常通信からホワイトリストを生成する場合の実施の形態について説明した。
これに対して、生成されたホワイトリストの性能を評価し、評価結果に基づきホワイトリストを改善することが考えられる。そこで、この発明の実施の形態3では、実パケットまたはパケットダンプデータを用いてホワイトリストの性能を評価し、改善する場合の実施の形態について説明する。
図11は、この発明の実施の形態3に係るホワイトリスト評価器を示すブロック構成図である。図11において、ホワイトリスト評価器1101は、木探索プログラム1102、ホワイトリスト1103およびパケットデータ1104を入力とし、検知プログラム1111およびホワイトリスト1112を出力とする。
また、ホワイトリスト評価器1101は、検知プログラム生成部1105、検知プログラム検証部1106、ホワイトリスト変換部(第2ホワイトリスト変換部)1108、ホワイトリスト評価・改善部1109、木構造変換部1110を備えている。また、検知プログラム生成部1105によって生成される検知プログラム1107が、主記憶装置等に記憶された状態で存在する。
ホワイトリスト変換部1108は、入力されたリスト形式のホワイトリスト1103を木構造に変換し、検知プログラム生成部1105に出力する。また、木探索プログラム1102も検知プログラム生成部1105に入力される。検知プログラム生成部1105は、これらを統合し、ホワイトリスト型検知プログラムを生成する。
検知プログラム検証部1106は、生成された検知プログラム1107を検証し、検証結果をフィードバックすることで、必要に応じて検知プログラムを改善し、改善された検知プログラム1111として出力する。
ホワイトリスト評価・改善部1109は、検知プログラム1107およびパケットデータ1104を入力とし、ホワイトリストの性能を評価し、必要に応じてホワイトリストを改善し、改善されたホワイトリストを木構造変換部1110に出力する。なお、この段階では、ホワイトリストは木構造として表されているため、木構造変換部1110によって元の形式に逆変換され、ホワイトリスト1112として出力される。
以下、図12〜図14を参照しながら、図11に示した検知プログラム生成部1105、検知プログラム検証部1106、ホワイトリスト変換部1108および木構造変換部1110の動作について説明する。
図12は、図5に示したホワイトリストを木構造で示した説明図である。図12において、この木構造は、ホワイトリストの各フィールドに従って枝が分岐するようにして作成されている。
まず、「状態」のフィールド1201に従って、根から「停止」、「運転」、「異常」の3通りに枝が分岐する。次に、「送信元」のフィールド1202に従って、枝が分岐する。図5に示したホワイトリストでは、「状態」が「運転」である場合に、「送信元」が「IPアドレスA」または「IPアドレスB」の2通りの値を取るため、図12の木構造では、「運転」の下で枝が「IPアドレスA」と「IPアドレスB」との2通りに分岐する。
以下、同様にして、「送信先」のフィールド1203と「コマンド」のフィールド1204によってさらに枝が分岐し、ホワイトリストが表される。このようにして、ホワイトリスト変換部1108が実現され、また、この逆の動作として木構造変換部1110が実現される。
また、上記のようにして生成されるホワイトリストの木を、木探索プログラムで探索することによって、ホワイトリスト型検知プログラムが実現される。したがって、木探索プログラムとホワイトリストの木とを統合することにより、検知プログラムが生成される。これにより、図11に示した検知プログラム生成部1105が実現される。
図13は、この発明の実施の形態3に係るホワイトリスト評価器における、判定対象のパケットに対する検知プログラムの動作を示す説明図である。図13には、現在のシステム状態1301、判定対象のパケット1302および検知プログラム1307が表されている。検知プログラム1307で示しているように、このプログラムは、木探索プログラムと木構造のホワイトリストとを合わせたものである。
図13において、パケット1302が検知プログラム1307に入力されると、まず、現在のシステム状態1301が「運転」であるため、ホワイトリストの木の探索において、枝1303が選択される。
次に、パケット1302の「送信元」が「IPアドレスA」であるため、枝1304が選択される。以下、同様にして、枝1305および枝1306が順に選択され、木の探索に成功する。このように、木の探索に成功した場合、パケットが許可される。
図14は、この発明の実施の形態3に係るホワイトリスト評価器における、判定対象のパケットに対する検知プログラムの動作を示す別の説明図である。図14では、別のパケット1401に対する検知プログラムの動作を表している。
図14において、パケット1401に対してホワイトリストの木探索を行うと、「送信先」のフィールドが「IPアドレスC」であるため、「送信先」の分岐で探索がエラー1402となる。このように、木の探索に失敗した場合、パケットは拒否される。
図11に示した検知プログラム検証部1106は、検知プログラムの正確さを検証するものであるが、上述したように、検知プログラムは木探索プログラムによって実現されているため、木探索プログラムの正確さを検証すれば十分である。また、木探索は単純なアルゴリズムであるため、木探索プログラムのソースコードに対して、Frama−C等の形式手法を組み込んだ静的解析ツールを利用し、木探索が満たすべき機能を検証することは容易である。
図15は、この発明の実施の形態3に係るホワイトリスト評価器における、ホワイトリスト評価・改善部の動作を示すフローチャートである。図15において、まず、パケットデータが入力される(ステップS1501)。
続いて、各パケットに対する検知プログラムの判定結果が評価され、必要に応じてホワイトリストが修正されるループ処理が行われる(ステップS1502〜ステップS1505)。まず、パケットが検知プログラムに入力される(ステップS1503)。続いて、パケットに対する検知プログラムの判定結果に応じて、ホワイトリストの木が修正される(ステップS1504)。
具体的には、例えば、パケットに対して期待される判定結果を補助的な入力として与え、検知プログラムの判定結果が期待される判定結果と異なる場合に、判定プログラムは正しいことが保証されているため、ホワイトリストに誤りがあることが分かる。そこで、期待される判定結果が得られるように、ホワイトリストの木を修正する。
次に、ステップS1502〜ステップS1505のループ処理の後、修正されたホワイトリストが出力されて(ステップS1506)、図15の処理が終了する。
以上のように、ホワイトリストを動作の正確さが保証された検知プログラムと組み合わせ、実パケットに対する検知の判定結果に基づきホワイトリストを修正することで、モデルには現れない要件定義のミス等さらに高度なミスを防ぐことができる。
実施の形態4.
この発明の実施の形態4では、上記実施の形態2と実施の形態3とを組み合わせた実施の形態について説明する。
この発明の実施の形態4では、上記実施の形態2と実施の形態3とを組み合わせた実施の形態について説明する。
まず、実施の形態3の効果として示したように、正確さが保証された検知プログラムと実パケットとを用いてホワイトリストを評価することにより、モデルのレベルでは現れない要件定義のミス等に起因するホワイトリストのミスを修正することができる。
このようにして、より正確さが向上したホワイトリストを、実施の形態2に示したホワイトリストからモデルへの変換に適用し、より正確なモデルの生成のために利用することができる。
このように、モデルには現れないミスをホワイトリストの評価によって発見し、ホワイトリストを修正し、修正されたホワイトリストをモデルに変換することによって、モデルの品質を高めることができる。
201 ホワイトリスト生成器、203 モデル変換部、205 モデル検証部、903 ホワイトリスト変換部(第1ホワイトリスト変換部)、1101 ホワイトリスト評価器、1105 検知プログラム生成部、1106 検知プログラム検証部、1108 ホワイトリスト変換部(第2ホワイトリスト変換部)、1109 ホワイトリスト評価・改善部、1110 木構造変換部。
Claims (8)
- 互いにデータを送受信する複数の装置からなるシステムに適用されて、ホワイトリスト型侵入検知を行うために、システム状態に対応するホワイトリストを生成するホワイトリスト生成器であって、
入力されたモデルであるステートマシンに対してシミュレーションまたは形式手法と呼ばれる数学的に正確さが証明される手法によって、前記ステートマシンに論理的な矛盾がないことを検証することで、前記システムにおける正常通信が正しくモデル化されているか否かを検証するモデル検証部と、
前記システム状態に対応して前記ステートマシンに論理的な矛盾がないことが検証されたステートマシンを前記ホワイトリストに変換することで、前記システム状態に対応する前記ホワイトリストに変換するモデル変換部と、
を備えたホワイトリスト生成器。 - 前記モデル変換部は、前記ステートマシンから、前記システムの状態に基づいて前記ホワイトリストを生成する
請求項1に記載のホワイトリスト生成器。 - 前記モデル検証部は、前記ステートマシンの検証結果に基づいて、必要に応じて前記ステートマシンを改善する
請求項1または請求項2に記載のホワイトリスト生成器。 - 前記ホワイトリストをステートマシンに変換する第1ホワイトリスト変換部をさらに備えた
請求項1から請求項3までのいずれか1項に記載のホワイトリスト生成器。 - 互いにデータを送受信する複数の装置からなるシステムに適用されて、ホワイトリスト型侵入検知を行うために、システム状態に対応するホワイトリストを生成するホワイトリスト生成方法であって、
入力されたモデルであるステートマシンに対してシミュレーションまたは形式手法と呼ばれる数学的に正確さが証明される手法によって、前記ステートマシンに論理的な矛盾がないことを検証することで、前記システムにおける正常通信が正しくモデル化されているか否かを検証するモデル検証ステップと、
前記システム状態に対応して前記ステートマシンに論理的な矛盾がないことが検証されたステートマシンを前記ホワイトリストに変換することで、前記システム状態に対応する前記ホワイトリストに変換するモデル変換ステップと、
を備えたホワイトリスト生成方法。 - 前記モデル変換ステップでは、前記ステートマシンから、前記システムの状態に基づいて前記ホワイトリストを生成する
請求項5に記載のホワイトリスト生成方法。 - 前記モデル検証ステップでは、前記ステートマシンの検証結果に基づいて、必要に応じて前記ステートマシンを改善する
請求項5または請求項6に記載のホワイトリスト生成方法。 - 前記ホワイトリストをステートマシンに変換する第1ホワイトリスト変換ステップをさらに備えた
請求項5から請求項7までのいずれか1項に記載のホワイトリスト生成方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2017/051303 WO2018077483A1 (en) | 2017-01-23 | 2017-01-23 | Evaluation and generation of a whitelist |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018537009A JP2018537009A (ja) | 2018-12-13 |
| JP6516923B2 true JP6516923B2 (ja) | 2019-05-22 |
Family
ID=57909610
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018511391A Active JP6516923B2 (ja) | 2017-01-23 | 2017-01-23 | ホワイトリスト生成器、ホワイトリスト評価器およびホワイトリスト生成・評価器、並びにホワイトリスト生成方法、ホワイトリスト評価方法およびホワイトリスト生成・評価方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11665165B2 (ja) |
| EP (1) | EP3545658B1 (ja) |
| JP (1) | JP6516923B2 (ja) |
| WO (1) | WO2018077483A1 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11487868B2 (en) * | 2017-08-01 | 2022-11-01 | Pc Matic, Inc. | System, method, and apparatus for computer security |
| DE112020007204T5 (de) * | 2020-07-17 | 2023-03-09 | Mitsubishi Electric Corporation | Vorrichtung zur Erzeugung einer Kommunikationserlaubnisliste, Verfahren zur Erzeugung einer Kommunikationserlaubnisliste und Programm |
Family Cites Families (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030172291A1 (en) * | 2002-03-08 | 2003-09-11 | Paul Judge | Systems and methods for automated whitelisting in monitored communications |
| US8302164B2 (en) | 2004-07-22 | 2012-10-30 | Facebook, Inc. | Authorization and authentication based on an individual's social network |
| US7853687B2 (en) * | 2007-03-05 | 2010-12-14 | Alcatel Lucent | Access control list generation and validation tool |
| US8730946B2 (en) * | 2007-10-18 | 2014-05-20 | Redshift Internetworking, Inc. | System and method to precisely learn and abstract the positive flow behavior of a unified communication (UC) application and endpoints |
| JP2009211503A (ja) * | 2008-03-05 | 2009-09-17 | Nec Corp | ソースコード検証装置、及びソースコード検証方法 |
| US8950007B1 (en) * | 2008-04-07 | 2015-02-03 | Lumension Security, Inc. | Policy-based whitelisting with system change management based on trust framework |
| US8179847B2 (en) * | 2008-05-13 | 2012-05-15 | At&T Mobility Ii Llc | Interactive white list prompting to share content and services associated with a femtocell |
| US8607066B1 (en) * | 2008-08-04 | 2013-12-10 | Zscaler, Inc. | Content inspection using partial content signatures |
| JP5306460B2 (ja) * | 2009-07-02 | 2013-10-02 | 三菱電機株式会社 | アクセス権限変更方法、コアネットワーク装置、基地局および端末 |
| JP5088403B2 (ja) * | 2010-08-02 | 2012-12-05 | 横河電機株式会社 | 不正通信検出システム |
| US20120133579A1 (en) * | 2010-11-30 | 2012-05-31 | Microsoft Corporation | Gesture recognition management |
| US20120246612A1 (en) * | 2011-03-23 | 2012-09-27 | Siemens Corporation | System and method for verification and validation of redundancy software in plc systems |
| WO2013123441A1 (en) * | 2012-02-17 | 2013-08-22 | Tt Government Solutions, Inc. | Method and system for packet acquisition, analysis and intrusion detection in field area networks |
| US8751650B2 (en) * | 2012-05-10 | 2014-06-10 | Cisco Technology, Inc. | Method and apparatus for supporting access control lists in a multi-tenant environment |
| US9690635B2 (en) * | 2012-05-14 | 2017-06-27 | Qualcomm Incorporated | Communicating behavior information in a mobile computing device |
| US9747440B2 (en) * | 2012-08-15 | 2017-08-29 | Qualcomm Incorporated | On-line behavioral analysis engine in mobile device with multiple analyzer model providers |
| US10122591B1 (en) * | 2013-03-13 | 2018-11-06 | Google Llc | Managing access to no-cost content |
| US20140313975A1 (en) * | 2013-04-19 | 2014-10-23 | Cubic Corporation | White listing for binding in ad-hoc mesh networks |
| US9705895B1 (en) * | 2013-07-05 | 2017-07-11 | Dcs7, Llc | System and methods for classifying internet devices as hostile or benign |
| US9386034B2 (en) * | 2013-12-17 | 2016-07-05 | Hoplite Industries, Inc. | Behavioral model based malware protection system and method |
| WO2015184221A1 (en) * | 2014-05-30 | 2015-12-03 | Georgetown University | A process and framework for facilitating information sharing using a distributed hypergraph |
| US9680855B2 (en) * | 2014-06-30 | 2017-06-13 | Neo Prime, LLC | Probabilistic model for cyber risk forecasting |
| KR101564644B1 (ko) * | 2014-07-03 | 2015-10-30 | 한국전자통신연구원 | 접근제어리스트 추출 방법 및 시스템 |
| KR20160036201A (ko) * | 2014-09-25 | 2016-04-04 | 한국전자통신연구원 | 비정상 통신 차단 장치 및 방법 |
| US9660994B2 (en) * | 2014-09-30 | 2017-05-23 | Schneider Electric USA, Inc. | SCADA intrusion detection systems |
| CN105704103B (zh) * | 2014-11-26 | 2017-05-10 | 中国科学院沈阳自动化研究所 | 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法 |
| WO2016113911A1 (ja) * | 2015-01-16 | 2016-07-21 | 三菱電機株式会社 | データ判定装置、データ判定方法及びプログラム |
| US10002218B2 (en) * | 2015-03-12 | 2018-06-19 | Cavium, Inc. | Verification of a multichip coherence protocol |
| US10104107B2 (en) * | 2015-05-11 | 2018-10-16 | Qualcomm Incorporated | Methods and systems for behavior-specific actuation for real-time whitelisting |
| US10075443B2 (en) | 2015-06-09 | 2018-09-11 | Intel Corporation | System, apparatus and method for stateful application of control data in a device |
| US10346140B2 (en) * | 2015-08-05 | 2019-07-09 | General Electric Company | System and method for model based technology and process for safety-critical software development |
| US10291654B2 (en) * | 2015-09-30 | 2019-05-14 | Symantec Corporation | Automated construction of network whitelists using host-based security controls |
| JP6567939B2 (ja) * | 2015-10-05 | 2019-08-28 | 任天堂株式会社 | 情報処理システム、周辺機器、無線通信チップ、アプリケーションプログラム、および情報処理方法 |
| US10680893B2 (en) * | 2015-10-27 | 2020-06-09 | Alaxala Networks Corporation | Communication device, system, and method |
| US10462159B2 (en) * | 2016-06-22 | 2019-10-29 | Ntt Innovation Institute, Inc. | Botnet detection system and method |
| US10356113B2 (en) * | 2016-07-11 | 2019-07-16 | Korea Electric Power Corporation | Apparatus and method for detecting abnormal behavior |
-
2017
- 2017-01-23 JP JP2018511391A patent/JP6516923B2/ja active Active
- 2017-01-23 WO PCT/EP2017/051303 patent/WO2018077483A1/en active Application Filing
- 2017-01-23 US US16/464,539 patent/US11665165B2/en active Active
- 2017-01-23 EP EP17701838.9A patent/EP3545658B1/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2018537009A (ja) | 2018-12-13 |
| EP3545658A1 (en) | 2019-10-02 |
| US11665165B2 (en) | 2023-05-30 |
| EP3545658B1 (en) | 2021-03-31 |
| US20210112062A1 (en) | 2021-04-15 |
| WO2018077483A1 (en) | 2018-05-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Jones et al. | Methodology for performing synchrophasor data conditioning and validation | |
| Rehman et al. | Automata based railway gate control system at level crossing | |
| US11656589B2 (en) | Systems and methods for automatic power topology discovery | |
| JP6516923B2 (ja) | ホワイトリスト生成器、ホワイトリスト評価器およびホワイトリスト生成・評価器、並びにホワイトリスト生成方法、ホワイトリスト評価方法およびホワイトリスト生成・評価方法 | |
| Liu et al. | On‐the‐fly and incremental technique for fault diagnosis of discrete event systems modeled by labeled petri nets | |
| Venkataramanan et al. | Enhancing microgrid resiliency against cyber vulnerabilities | |
| Narayan et al. | First approach for a multi-dimensional state classification for ict-reliant energy systems | |
| Jhunjhunwala et al. | A design pattern for monitoring adapter connections in IEC 61499 | |
| Takai et al. | A generalized framework for inference-based diagnosis of discrete event systems capturing both disjunctive and conjunctive decision-making | |
| Rahman et al. | Impact of stealthy attacks on optimal power flow: A simulink-driven formal analysis | |
| Milanovic et al. | Modeling business process availability | |
| CN109446146B (zh) | 一种应用层通信协议的状态转换序列生成方法 | |
| KR20180086732A (ko) | Plc 통신 모듈의 테스트케이스 생성 방법 | |
| Bhattacharyya et al. | A discrete event systems approach to network fault management: detection and diagnosis of faults | |
| Kumar et al. | Model Based Verification of Safety-Critical Systems | |
| Rástočny et al. | Effects of a Periodic Maintenance on the Safety Integrity Level of a Control System★ | |
| Lee et al. | Verification and conformance test generation of communication protocol for railway signaling systems | |
| CN104933636B (zh) | 多工况电力系统稳定性分析方法及装置 | |
| West et al. | Automatic identification of critical digital assets | |
| Soltan et al. | React to cyber-physical attacks on power grids | |
| König et al. | Probabilistic Relational Models for assessment of reliability of active distribution management systems | |
| CN110909991A (zh) | 一种面向光缆纤芯远程智能调度业务的快速估计装置及方法 | |
| Tvardovskii et al. | Testing systems of interacting timed finite state machines with the guaranteed fault coverage | |
| CN115130111B (zh) | 基于ai分析的系统运行漏洞修复方法及大数据服务系统 | |
| Tkachova et al. | Method for OpenFlow protocol verification |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180301 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180301 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20180301 |
|
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20181029 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20181120 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190111 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190319 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190416 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6516923 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |