JP6634009B2 - ハニーポートが有効なネットワークセキュリティ - Google Patents
ハニーポートが有効なネットワークセキュリティ Download PDFInfo
- Publication number
- JP6634009B2 JP6634009B2 JP2016516653A JP2016516653A JP6634009B2 JP 6634009 B2 JP6634009 B2 JP 6634009B2 JP 2016516653 A JP2016516653 A JP 2016516653A JP 2016516653 A JP2016516653 A JP 2016516653A JP 6634009 B2 JP6634009 B2 JP 6634009B2
- Authority
- JP
- Japan
- Prior art keywords
- signal
- processor
- data
- communication protocol
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 claims description 68
- 230000005540 biological transmission Effects 0.000 claims description 38
- 230000003993 interaction Effects 0.000 claims description 2
- 238000000034 method Methods 0.000 description 16
- 238000012545 processing Methods 0.000 description 9
- 238000012544 monitoring process Methods 0.000 description 7
- 238000001514 detection method Methods 0.000 description 6
- 235000012907 honey Nutrition 0.000 description 6
- 230000001965 increasing effect Effects 0.000 description 6
- 238000011161 development Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 238000004519 manufacturing process Methods 0.000 description 5
- 238000013461 design Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000003278 mimic effect Effects 0.000 description 4
- 241000700605 Viruses Species 0.000 description 3
- 230000009471 action Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000001788 irregular Effects 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000008054 signal transmission Effects 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000001816 cooling Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 238000009432 framing Methods 0.000 description 1
- ZZUFCTLCJUWOSV-UHFFFAOYSA-N furosemide Chemical compound C1=C(Cl)C(S(=O)(=O)N)=CC(C(O)=O)=C1NCC1=CC=CO1 ZZUFCTLCJUWOSV-UHFFFAOYSA-N 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000008450 motivation Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000036544 posture Effects 0.000 description 1
- 230000035755 proliferation Effects 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
- 238000013515 script Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
- G06F15/163—Interprocessor communication
- G06F15/173—Interprocessor communication using an interconnection network, e.g. matrix, shuffle, pyramid, star, snowflake
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/567—Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Description
本明細書で開示される主題は、概してネットワークセキュリティならびにコンピュータネットワークに結合された制御システムおよび制御ネットワークのセキュリティに関する。
コンピュータネットワークおよびネットワーク技術は、以前は存在しなかった領域まで拡大している。例えば、風力タービン、ガスタービン、圧縮機、モータ、発電機および他のデバイス等の機械の動作を監視および制御する、監視および/または制御システム(例えば産業用制御システム)は、ますます相互接続されたものとなっている。この相互接続により、物理的に別個の機械と例えば単一の監視ステーションとの間の情報の共有が可能となる。しかしながら、従来のクローズ型(即ちネットワーク接続されていない)システムが相互接続されるにつれ、サイバー攻撃(例えばハッキング)による潜在的な脅威も増加してきた。
産業用制御システムのためのセキュリティの改善についていくつかの試みが行われてきた。例えば、パデューモデル(Purdue model)等の制御階層モデルが導入されてきた。これらのモデルは、産業用制御システム(「ICS:industrial control systems」)のオーナー、オペレータおよび提供者に、セキュリティ議論の枠組み作りに使用するための有益な共通言語を提供してきたが、静的データフロー、中央制御および周辺だけを対象にしたセキュリティの暗黙の想定が時代遅れであることを証明し得る。実際、ICS技術(分布型制御、スマートデバイスおよび相互運用性)とますます洗練される脆弱性に対する開発との両方における進歩は、侵入検知のためのより堅牢なモデルおよび技術への需要をもたらし得る。更に、仮想化、協働化/社会化、およびクラウドベースのインフラストラクチャー/サービス等の新興の勢いは、周辺セキュリティ(即ち、主にシステムへの侵入の回避に焦点を当てたネットワークセキュリティ)のみに基づいて確立された防御態勢の妥当性に疑問を更に呈し得る。
加えて、ICSが例えば会社のネットワークに結合される場合、更なるセキュリティの問題が発生し得る。エンドポイントセキュリティは、会社のネットワークへの不正アクセスを回避するために利用されてきた1つの技術であり、この技術により企業は、会社のネットワークへのアクセスを許可する前に各デバイスまたはホストを認証およびスキャンする。しかしながら、生産性と増大するネットワークへのアクセスの需要を高める消費者製品の急増は、ネットワークエッジにおける保護が不十分であり得るモデルをもたらしてきた。したがって、エンドユーザの多数のデバイスおよび企業への持続的な接続性の強い要求に伴い、データは監視されず、潜在的に保護されずに、ネットワークの内外へと流れることも多い。加えて、個人的なクラウドストレージおよびソーシャルネットワーキングの使用に伴い、機密データの損失または操作に関するリスクは著しく高まることが証明できる。
ICSならびにICSが結合され得る会社のネットワークの両方に対する増加するサイバー攻撃の可能性を考慮すると、ICSならびに会社のネットワークの両方への不正侵入の検知に関連する増加するセキュリティへの需要が存在する。したがって、従来技術の困難を克服し、試みられたネットワークへの侵入の増加する検知を可能にするシステムおよび技術を導入することが望ましい。
本発明の1つまたは複数の特定の実施形態を以下で説明する。これらの実施形態の簡潔な説明を提供するために、実際の導入例の全ての特徴を本明細書では説明しないことがある。いずれのこのような実際の導入例の開発では、いずれのエンジニアリングまたは設計プロジェクトで行われるように、例えば1つの導入例と別の導入例との間で変化し得るシステム関連のおよびビジネス関連の制約を有するコンプライアンス等の開発者の特定の目標を達成するために、多数の導入例−仕様決定を実施しなければならないことを理解されたい。また、このような開発努力は複雑かつ時間のかかるものであり得るが、それにも関わらず本開示の利益を得る当業者にとっては、設計、製作および製造の慣例的な仕事であろうことを理解されたい。
一実施形態では、デバイスは、第1の通信プロトコルを用いて第1の信号を生成し、第2の通信プロトコルを用いて第2の信号を生成し、かつ第1の信号および第2の信号を送信するように構成されたプロセッサを備え、第1の信号はプロセッサにより受信されるデータに対応し、第2の信号はプロセッサにより生成されるねつ造されたデータからなる。
別の実施形態では、コンピュータが実行可能なコードが記憶された非一時的コンピュータ可読媒体は、データを受信し、第1の通信プロトコルを用いて第1の信号を生成し、第2の通信プロトコルを用いて第2の信号を生成し、かつ第1の信号および第2の信号を送信するための命令からなるコードを含み、第1の信号は受信されるデータに対応し、第2の信号はねつ造されたデータからなる。
更なる実施形態では、デバイスは、命令を記憶するように構成されたメモリと、記憶された命令を実行して機械の動作特性に対応するデータを受信し、機械に関連する第1の通信プロトコルを用いて第1の信号を生成し、機械に関連する第2の通信プロトコルを用いて第2の信号を生成し、かつ第1の信号および第2の信号を送信するように構成されたプロセッサとを備え、第1の信号はプロセッサにより受信されるデータに対応し、第2の信号はプロセッサにより生成されるねつ造されたデータからなる。
これらのおよび他の本発明の特徴、態様、ならびに利点は、添付の図面(図面中、図面を通して類似の符号は類似の部分を表す)を参照して以下の詳細な説明を読むとよりよく理解されるであろう。
本発明の1つまたは複数の特定の実施形態を以下に説明する。これらの実施形態の簡潔な説明を提供するために、実際の導入の全ての特徴を本明細書では説明しないことがある。いずれのこのような実際の導入例の開発では、いずれのエンジニアリングまたは設計プロジェクトで行われるように、例えば1つの導入例と別の導入例との間で変化し得るシステム関連のおよびビジネス関連の制約を有するコンプライアンス等の開発者の特定の目標を達成するために、多数の導入例−仕様決定を実施しなければならないことを理解されたい。また、このような開発努力は複雑かつ時間のかかるものであり得るが、それにも関わらず本開示の利益を得る当業者にとっては、設計、製作および製造の慣例的な仕事であろうことを理解されたい。
本発明の様々な実施形態の要素を紹介する際、冠詞「a」、「an」、「the」、および「前記(said)」は、要素のうちの1つまたは複数が存在することを意味することを意図している。用語「〜からなる(comprising)」、「〜を含む(including)」および「〜を有する(having)」は、含有することと、列挙された要素の他に追加の要素が存在し得ることとを意味することを意図している。
産業用制御システム(「ICS」)への侵入を検知するためのシステムおよび技術を以下に詳細に述べる。技術は、攻撃者には本物に見える偽のサービスの生成を可能とするハニーポートおよび/またはハニーポットの使用を含む。ハニーポートは、接続が行われることを監視して接続が確立された時に報告するダミーポートであってよい。ハニーポートは、ハッカーのポートスキャナをこれに接続するようにおびき寄せることができる偽のサービスを含んでよい。ハニーポートは、ネットワークへの攻撃者または侵入者に関する情報を集めるよう設定された部分的なまたは完全なシステム(例えば、おとりサーバまたはおとりシステム)であってよい。ハニーポートおよび/またはハニーポットの使用により、攻撃者がシステムにおいて追加で旋回し、より長く接続状態に留まるようにし、かつ攻撃者または動機を識別されやすくすることができる。したがってハニーポートは、正確に導入された場合、偽装のアクション(例えば、ネットワークへの偵察)をシステム管理者に警告する補助となり得る。偵察および訴訟対象となる脅威の情報に焦点を当てることにより、ゼロデイの脅威に比較的さらされたままになるのとは対照的に、ネットワークは攻撃者を直ぐに検知できるようになり、かつ迅速に調査および応答するための態勢をとることになる。
ICSにおけるハニーポートの成功している導入例は、ネットワークポートスキャンの種類に関係なく攻撃者を識別することを補助するために使用できる遠隔データを取り込む能力と、代表される動作環境において期待されるようなサービスの正確な表現の生成および提示とを含む。これは例えば、偽のまたは脆弱なアプリケーション/バージョンバナー情報および/もしくは事前スキャンされたもしくはランダム化された文字列のリプライを例えば完全なTCP接続セッションに対して表示することを含んでよい。加えて、ホワイトリスト(例えば、特定の特権、サービス、モビリティ、アクセスもしくは認識が与えられたエンティティのリストまたはレジスタ)に存在しない接続またはホワイトリストに列挙されている場合でも複数のハニーポートを周遊する接続に基づいてファイアウォールの動的アップデートが存在してよい。
上記を念頭に置いて、図1は産業用制御システム(「ICS」)10と会社のコンピュータネットワーク等のコンピュータネットワーク12とのブロック図を示す。いくつかの実施形態では、ICS10は1つまたは複数のフィールドロケーション14、制御システムネットワーク16、およびこれらの間の通信インターフェース18を含んでよい。フィールドロケーション14は、制御システム20ならびに監視対象の機械22を含んでよい。いくつかの実施形態では、制御システム20は機械22の1つまたは複数の動作パラメータを監視することができる。特定の実施形態では、機械22は以下:風力タービン、蒸気タービン、水力タービン、ガスタービン、航空機転用タービン、圧縮機、ギア、ターボエキスパンダ、遠心ポンプ、モータ、発電機、ファン、ブロワ、攪拌器、ミキサ、遠心分離器、パルプレファイナ、ボールミル、砕石機/粉砕機、押出成形機、ペレット製造機、冷却塔/熱交換ファン、および/または監視対象として好適な他のシステムのうちの1つまたは複数を代表するものであってよい。
機械22の動作中、1つまたは複数のセンサは、機械22の1つまたは複数の動作パラメータを測定して、測定した値を信号として制御システムへと送信することができる。センサは、例えばタービンの軸の回転速度、タービンの動作温度または他の同様の動作パラメータ等の、機械22またはその内部の構成要素の様々なパラメータを測定するために使用できる、変換器または他の好適な測定デバイスであってよい。センサは、監視対象の機械22の動作パラメータに関連する信号を制御システム20へと送信することができる。
いくつかの実施形態では、制御システム20は、例えばGeneral Electric(登録商標)(スケネクタディ、ニューヨーク)から入手可能なSPEEDTRONIC(登録商標)Mark VI タービン制御システムもしくは同様のシステムと同様の監視システムであってよく、またはこれら自体であってよい。一実施形態では、制御システム20は、機械22の測定された動作パラメータを示す信号を受信することができ、かつ、機械22の測定された動作パラメータを示す信号を記録および/または分析して、例えば機械22への入力値を調整するために(例えば機械22の動作を制御するために)使用される制御信号を生成することができる。
いくつかの実施形態では、制御システム20は機械22の動作に関連する情報をインターフェース18へと送信することができる。インターフェース18は、通信信号を送信するルータまたは他のネットワークデバイスであってよい。加えてまたはあるいは、インターフェース18は、フィールドロケーション14と制御システムネットワーク16との間で送信される信号を変更する(例えば、1つの通信プロトコルから別の通信プロトコルへと信号を変換する)通信インターフェースであってよい。インターフェース18は、フィールドロケーション14と制御システムネットワーク16との間で受信された信号を、物理的接続または無線接続であり得る信号経路24に沿って送信することができる。例えば信号経路24は、イーサーネット接続等の有線接続であってよい。あるいは信号経路24は、ローカルエリアネットワーク(LAN)(例えばWi−Fi)、ワイドエリアネットワーク(WAN)(例えば3Gまたは4G)、Bluetooth(登録商標)ネットワークおよび/または別の無線ネットワークの一部等の、無線通信経路であってよい。
図1に示すように、信号経路24を、制御システムネットワーク16内の1つまたは複数のサーバ26ならびにヒューマンマシンインターフェース28に結合することができる。サーバ26としては例えば、フィールドロケーション14のデータの記憶および/もしくは取り出しを可能にするデータ取得サーバ、他のコンピュータプログラムもしくはコンピュータにデータベースサービスを提供するデータベースサーバ、ならびに/または他の様々なサーバを挙げることができる。加えて、前述したように、制御システムネットワーク16は、例えばワークステーションおよび/もしくはコンピュータを含むことができる1つまたは複数のヒューマンマシンインターフェース28を含んでよい。このワークステーションまたはコンピュータを利用して、例えば、1つまたは複数のフィールドロケーション14に関連するユーザに対して情報を表示して、フィールドロケーション14のうちの1つもしくは複数に存在する要素の監視および/または制御を可能にできる。
いくつかの実施形態では、制御システムネットワーク16を、信号経路30に沿って、例えばコンピュータネットワーク12に結合することができる。信号経路30は、上述の信号経路24と同様に、物理的な接続または無線接続であってよい。一実施形態では、信号経路30は、制御システムネットワーク16をコンピュータネットワーク12内のファイアウォール32に結合することができる。このファイアウォール32は例えば、受信したデータパケットを分析して受信したパケットが承認されているかどうかを決定することにより、入ってくるおよび出ていくネットワークトラフィックを制御するソフトウェアまたはハードウェアベースのネットワークセキュリティシステムであってよい。つまり、ファイアウォール32は、コンピュータネットワーク12ならびにファイアウォール32に結合された1つまたは複数のサーバ36およびヒューマンマシンインターフェース38の信号経路34に対する不正アクセスを回避することができる。
サーバ36としては例えば、電子メッセージの記憶および/もしくは交換を可能にするeメールサーバ、他のコンピュータプログラムもしくはコンピュータにデータベースサービスを提供するビジネスサーバ、ならびに/または他の様々なサーバを挙げることができる。加えて、制御システムネットワーク16と同様に、コンピュータネットワーク12は、例えばワークステーションおよび/もしくはコンピュータを含んでよい1つまたは複数のヒューマンマシンインターフェース38を含んでよい。このワークステーションまたはコンピュータを利用して、例えば、1つまたは複数のユーザとサーバ36との対話、ならびにコンピュータネットワーク12の様々な部分への一般的なまたは所定のアクセスを可能にできる。
ヒューマンマシンインターフェース38は、(例えばインターネット接続を介した)コンピュータネットワーク12内の要素とインターフェースするだけでなくてよい。実際、ヒューマンマシンインターフェース38(ならびに1つまたは複数のサーバ36)は、コンピュータネットワーク12の外部のエンティティとインターフェースしてもよい。これは、1つまたは複数のルータおよび/もしくは他の通信インフラストラクチャーであり得るインターフェース40を通じたインターネット44への接続を介して達成できる。いくつかの実施形態では、インターフェース40は、バックアップ制御センタ42から制御システムネットワーク16への(具体的には信号経路24の)信号の送信を可能にして、1つまたは複数のフィールドロケーション14の要素の二次的な監視および/または制御を可能にしてもよい。いくつかの実施形態では、バックアップ制御センタ42は、問題が制御システムネットワーク16の一部に失敗を引き起こした時に動作することができ、これにより様々なフィールドロケーション14の要素の監視および/または制御を低減するおよび/または排除する。
この様式では、コンピュータネットワーク12の様々な要素と制御システムネットワーク16とを、相互接続してよい。更にこの様式では、外部のユーザおよびネットワークへのアクセスを確立できる。しかしながら、外部アクセスを可能とするネットワークを有することは、これらのネットワークのセキュリティを強化するという要望も発生させ得る。コンピュータネットワーク12および制御システムネットワーク16の両方のセキュリティを強化するための1つの技術は、侵入検知システム(IDS:intrusion detection system)を導入することである。IDSは、ネットワークまたはシステムの行為を監視すること可能にするデバイスおよび/または(例えば、メモリまたはストレージ等のデバイス上に記憶された)ソフトウェアアプリケーションである。具体的には、IDSは悪意のある行為、ハッキングの試み、ポリシー侵害または他の疑わしいネットワーク挙動を探索し、アクションの指標(例えばインスタンスのログ)を(例えばサーバ26および36のうちの一方または両方に配置してよい)管理ステーションおよび/またはシステムへと送信することができる。
疑わしいおよび/または悪意のあるネットワーク使用の検知を補助するために、IDSはIDSセンサ46を含んでよい。これらのIDSセンサ46は、コンピュータネットワーク12の様々なポイントに存在してよく、かつ例えばインターネット44からの攻撃または望まない侵入を確認するように動作することができる。しかしながら、攻撃/悪意のある行為は、ICS10にも影響し得る。したがって、IDSセンサ46を例えば様々なフィールドロケーション14ならびに制御システムネットワーク16に設けてもよい。例えばIDSセンサ46を制御システム20内およびヒューマンマシンインターフェース28内に配置してよい。これらのIDSセンサ46の導入および動作、ならびにIDS全体は、以下で説明される図面と併せて詳述される。
図2は図1の制御システム20を示す。いくつかの実施形態では、制御システム20は、制御モジュール48と、例えばカードラックに配設された1つまたは複数の入力/出力(I/O)カード50とを含んでよい。いくつかの実施形態では、制御モジュールは、プロセッサ52および/または他のデータ処理回路(例えば、汎用中央処理装置(CPU:central processing units)、組み込みCPU、システムオンチップ(SOC:systems on a chip)、アプリケーション特定用途向けプロセッサ、アプリケーション特定用途向け集積回路(ASIC:application specific integrated circuits)、フィールドプログラム可能ゲートアレイ(FPGA:field programmable gate arrays)、およびこれらの組み合わせ)を備えてよく、これらは本開示の技術を実施するための命令を実行するためにメモリ54に動作可能に結合することができる。これらの命令を、プロセッサ52が実行できるプログラムに符号化することができる。命令を、上記の命令またはルーティンを少なくとも一括保存するメモリ54等の少なくとも1つの有形のコンピュータ可読媒体を含む、製造業者のいずれの好適な物品に記憶してよい。
メモリ54としては例えば、ランダムアクセスメモリ、読み取り専用メモリ、書き換え可能メモリ、フラッシュメモリ、および/または他の物理的な記憶デバイスを挙げることができる。制御モジュール48は、入力/出力(I/O)インターフェース56も含んでよい。このI/Oインターフェース56は、制御システム20を図1のインターフェース18へと接続し、パーソナルエリアネットワーク(PAN:personal area network)(例えばBluetooth(登録商標))、ローカルエリアネットワーク(LAN)(例えばWi−Fi)、ワイドエリアネットワーク(WAN)(例えば3GまたはLTE)、イーサーネット接続等を介した通信を可能にしてよい。したがって制御システム20は、I/Oインターフェース56を通して、例えば信号経路24を用いて通信することができ、これにより、サーバ26およびHMI28等の他のネットワークデバイスを用いたクラウドストレージ、処理および/または通信を可能とする。
制御システム20は、制御モジュール48を例えばI/Oカード50のそれぞれに結合する内部バス58も含んでよく、これによりI/Oカード50から制御モジュール48へのデータの通信を可能とする。加えて、内部バス58はI/Oカード50間の内部カード通信を可能としてよい。加えて、図示するように、I/Oカード50のそれぞれは、デジタル信号プロセッサ(DSP:digital signal processor)60、I/Oインターフェース62、およびストレージ64を含んでよい。DSP60は、機械22の動作に関連するI/Oインターフェース62から信号を受信することができる。具体的にはDSP60は、I/Oインターフェース62から受信したデータを電子的にフィルタリングするおよび/または処理するために併せて利用してよいプロセッサ66およびメモリ68を含む、回路基板上の回路または1つもしくは複数の回路であってよい。例えばプロセッサ66は、メモリ68(例えばランダムアクセスメモリ、読み取り専用メモリ、フラッシュメモリ、またはDSP60の基板上に存在し得る他のタイプのメモリ)内に記憶されたソフトウェアプログラムを利用して、I/Oインターフェース62から受信したデータを電子的にフィルタリングおよび/または処理することができる。この処理済みのデータを、例えば制御モジュール48により取り出すために、続いてストレージ64(ランダムアクセスメモリ、読み取り専用メモリ、書き換え可能メモリ、フラッシュメモリ、および/または他の物理的な記憶デバイス)へと送信することができる。また、DSP60が図示されているが、DSP60の代わりに、汎用CPU、組み込みCPU、SOC、アプリケーション特定用途向けプロセッサ、ASIC、FPGAおよびこれらの組み合わせ等の他の種類の計算処理ユニットを、これらに関連するメモリデバイスと併せて利用してよいことを理解されたい。
前述したように、フィールドロケーション14は、ICS10および/またはコンピュータネットワーク12への悪意のある侵入用のアクセスポイントとして機能することができる。不正アクセスの検知を補助するために、IDSセンサ46を利用してよい。これらのIDSセンサ46は、I/Oカード50のそれぞれにおいておよび/または制御モジュール48内に見出すことができる。例えばICS10は、機械22と、制御システム20と、制御ネットワーク16との間で実際のICSデータを通信するための第1の通信プロトコル(例えばプロトコルA)を使用してよい。一実施形態では、第2の通信プロトコル(例えばプロトコルB)をダミープロトコルとして設定してよく、このダミープロトコルは、プロセッサ52または66により生成されるねつ造されたデータを含んでよい。これらの通信プロトコルAおよびBとしては例えば、DM3シリアル通信信号、Modbus通信信号、産業用制御通信信号、自動通信信号、および/または他の通信プロトコルが挙げられる。
したがって、DSP60はプロトコルBを用いてダミーの通信を生成してこれらのダミー通信をプロトコルAの実際の通信送信と並行して送信できる。よって、プロトコルAを用いて送信される信号は実際には機械22の動作およびICS10の動作に対応してよいが、プロトコルBを用いる信号はICS10のいずれの実際の動作と対応しない。代わりにプロトコルBを用いる信号は、ICS10にアクセスする悪意のある試みが発生しているかどうかを決定するために利用できるねつ造されたデータを含む。
一実施形態では、DSP60の回路はプロトコルBを用いたこれらの信号を生成することができる。例えば、メモリ68に記憶されたソフトウェアプログラムを実行するプロセッサ66は、プロトコルBの信号を生成して、典型的には各I/Oカード50から送信されることになる実際の信号を模倣したねつ造されたデータ信号を送信することができる。プロセッサ66は、同時および/または連続的送信のために、プロトコルAを用いた信号と併せて通信プロトコルBを用いたこれらの信号を生成することができる。
加えてまたはあるいは、制御モジュール48の回路は、プロトコルBを用いたこれらの信号を生成することができる。例えば、メモリ54に記憶されたソフトウェアプログラムを実行するプロセッサ52は、プロトコルBの信号を生成して、典型的には制御モジュール48から送信されることになる実際の信号を模倣したねつ造されたデータ信号を送信することができる。プロセッサ52は、同時および/または連続的送信のために、プロトコルAを用いた信号と併せて通信プロトコルBを用いたこれらの信号を生成することができる。
更に、DSP60および/または制御モジュール48(具体的にはプロセッサ66および52)は、通信がプロトコルBを利用して開始されたかどうかを検知することができる。即ち、悪意のあるまたは望まない外部の攻撃者が、プロトコルBを含むまたはプロトコルBの送信を反映する信号を用いて制御システム20へのアクセスを試みる場合、プロトコルBを利用した信号はダミー信号として生成されるので、侵入者を検知できる。この処理は、以下で説明される図5を参照してより詳細に概説される。この様式では、プロトコルBを用いた偽(false)の信号がICS10への不正アクセスの検知を補助するハニーポートとして機能するので、IDSセンサ46は制御モジュール20内に存在する。
IDSセンサ46は、ICS10の他の部分にも存在してよい。例えばICS10のヒューマンマシンインターフェース28は、制御システム20に関して上述したものと実質的に同様の様式でIDSセンサを備えてよい。図3は、このIDSセンサ46を組み込んでよいヒューマンマシンインターフェース28の詳細なブロック図である。
図3に示すように、ヒューマンマシンインターフェース28は、本開示の技術を実施するための命令を実行するために、メモリ72およびストレージ74に動作可能に結合できるプロセッサ70および/または他のデータ処理回路を含む。これらの命令を、プロセッサ70および/または他のデータ処理回路(例えば、汎用CPU、組み込みCPU、SOC、アプリケーション特定用途向けプロセッサ、ASIC、FPGA、およびこれらの組み合わせ)が実行できるプログラムに符号化することができる。命令は、メモリ72またはストレージ74等の、上記の命令またはルーティンを少なくとも一括保存する少なくとも1つの有形のコンピュータ可読媒体を含む、製造業者のいずれの好適な物品に記憶してよい。メモリ72およびストレージ74としては例えば、ランダムアクセスメモリ、読み取り専用メモリ、書き換え可能メモリ、ハードドライブ、および/または光学ディスクが挙げられる。
ヒューマンマシンインターフェース28は、ヒューマンマシンインターフェース28のグラフィカルユーザインターフェース(GUI)を表示できるディスプレイ76も含んでよい。ヒューマンマシンインターフェース28は、電源、キーボード、マウス、トラックパッド、および/またはタッチスクリーンインターフェース等の様々な他の構成要素を含んでよいことも理解されたい。例として、ヒューマンマシンインターフェース28は入力/出力(I/O)ポート78ならびにネットワークインターフェース80も含んでよい。ネットワークインターフェース80は、パーソナルエリアネットワーク(PAN)(例えばBluetooth(登録商標))、ローカルエリアネットワーク(LAN)(例えばWi−Fi)、ワイドエリアネットワーク(WAN)(例えば3GまたはLTE)、イーサーネット等を介した通信を提供してよい。ヒューマンマシンインターフェース28は、ネットワークインターフェース80を通して、例えば信号経路24を通じて通信することができ、これによりサーバ26および/または制御システム20等の他のネットワークデバイスを用いた処理および/または通信を可能とする。
前述したように、ヒューマンマシンインターフェース28は、ICS10および/またはコンピュータネットワーク12への悪意のある侵入用のアクセスポイントとして機能することができる。不正アクセスの検知を補助するために、IDSセンサ46を利用してよい。これらのIDSセンサ46はヒューマンマシンインターフェース28内に見出すことができる。例えばICS10は、機械22と、制御システム20と、制御ネットワーク16との間で実際のICSデータを通信するための第1の通信プロトコル(例えばプロトコルA)を使用してよい。一実施形態では、第2の通信プロトコル(例えばプロトコルB)をダミープロトコルとして設定してよく、このダミープロトコルは、プロセッサ70により生成されるねつ造されたデータを含んでよい。これらの通信プロトコルAおよびBとしては、DM3シリアル通信信号、Modbus通信信号、産業用制御通信信号、自動通信信号、および/または他の通信プロトコルが挙げられる。
したがって、プロセッサ70はプロトコルBを用いてダミーの通信を生成してこれらのダミー通信をプロトコルAの実際の通信送信と並行して送信できる。よって、プロトコルAを用いて送信される信号は実際には機械22の動作/制御およびICS10の動作に対応してよく、プロトコルBを用いる信号はICS10のいずれの実際の動作と対応しない。代わりにプロトコルBを用いる信号は、ICS10にアクセスする悪意のある試みが発生しているかどうかを決定するために利用される。
一実施形態では、例えば、メモリ72に記憶されたソフトウェアプログラムを実行するプロセッサ70は、プロトコルBの信号を生成して、典型的には各ヒューマンマシンインターフェース28から送信されることになる実際の信号を模倣したダミー信号を送信することができる。プロセッサ70は、同時および/または連続的送信のために、プロトコルAを用いた信号と併せて通信プロトコルBを用いたこれらの信号を生成することができる。
加えて、プロセッサ70は通信がプロトコルBを利用して開始されたかどうかを検知することができる。即ち、悪意のあるまたは望まない外部の攻撃者が、プロトコルBの送信を用いた信号を用いてヒューマンマシンインターフェース28へのアクセスを試みる場合、プロトコルBを利用した信号はダミー信号として生成され、侵入者を検知できる。この処理は、以下で説明される図5を参照してより詳細に概説される。この様式では、プロトコルBを用いた偽(false)の信号がICS10への不正アクセスの検知を補助するハニーポートとして機能するので、IDSセンサ46はヒューマンマシンインターフェース28内に存在する。
なお、IDSセンサ46を導入するこの技術は、例えば制御システムネットワーク16上の侵入済みの/マルウェアに感染した内部/信頼のデバイスを検知するためにも適用され得ることに留意されたい。例えば、ホストコンピュータ(例えばヒューマンマシンインターフェース28)は、承認されたユーザの誰かが外部ストレージデバイス(例えばUSBストレージデバイス)をヒューマンマシンインターフェース28へと接続した時に感染状態となってよい。外部ストレージデバイスがその内部に存在するウィルスを有していた場合、ウィルスは、制御システムネットワーク16および/またはコンピュータネットワーク12上の他のデバイスを精査し得る(例えば典型的にはヒューマンマシンインターフェース28はセキュリティ枠の内側に存在するので、ファイアウォールおよび/または侵入回避システムは典型的には役に立たない)。このウィルスによる精査は、悪意のあるペイロードの拡散および/または送達のために特定のオープンポート/脆弱性を探索するために動作し得る。しかしながら、(ヒューマンマシンインターフェース28と併せて利用されるハニーポートを通して)この行為を検知することにより、ブロードキャスト/マルチキャストメッセージを例えば、制御システムネットワーク16および/またはコンピュータネットワーク12へと送信し、これにより特定のイベントが発生するまで(例えばオペレータがイベントをクリアできるまで)全てのデバイスをブラックリストに挙げてよい(例えば影響を受けたデバイスからの命令の書き込みを許可しない)。
図4は、ハニーポートを実行する(即ちIDSセンサ46を含む)ヒューマンマシンインターフェース28の動作を説明するフローチャート82を示す。一実施形態では、フローチャート82のステップを、ヒューマンマシンインターフェース28により(例えば、メモリ72および/またはストレージ74等の有形の機械可読媒体上に記憶されたソフトウェアプログラム、即ちコードを実行するプロセッサ70により)部分的にまたは全体的に実行してよい。
ステップ84では、プロセッサ70はプロトコルBを利用した信号(即ち、ICS10の実際の動作にはリンクされないダミー信号)を生成し、その送信を開始することができる。ステップ86では、プロセッサ70は、信号がプロトコルBの送信を利用して受信されたかどうかを検知するように動作するサーバソケットリスナを生成することができる。前述したように、プロトコルBを用いた信号は、実際にはICS10の動作を示さないが、代わりに悪意のあるユーザが確認を期待する代替のプロトコルを模倣するので、プロセッサ70により受信/検知された送信は、ICS10および/またはコンピュータネットワーク12への不正アクセスを示唆することができる。
サーバソケットリスナがステップ86で生成されると、ICS10(例えばヒューマンマシンインターフェース28)は、プロトコルBを用いた信号(検知)用の「リスニング」の定常状態へと入ってよい。その後、いくつかの時点で、ステップ88においてソケット接続が発生する。ステップ88は、プロセッサ70がプロトコルBを用いた送信を検知したことを示す。
その後、ステップ90では、プロセッサ70は接続が完全接続かどうかを決定することができる。即ちプロセッサ70は接続が半開である(例えば、完全送信制御プロトコル接続が発生していない)と考えられるかどうかを決定することができる。接続が半開であると考えられる場合、プロセッサ70はステップ92においてイベントをログ記録することができる。ステップ92におけるイベントのログ記録は、例えばストレージ74内および/またはサーバ26(例えばネットワークセキュリティサーバ)内にイベントの指標を記憶することを含んでよい。
しかしながら、ステップ90において接続が完全接続である(例えば完全送信制御プロトコル接続が発生した)とプロセッサ70が決定すると、続いて処理はステップ94へと進行してよい。ステップ94では、プロセッサ70は例えば、いずれの遠隔クライアント接続、ソースIPアドレス、または通信に存在する他の情報に関連する情報を取り込むことができる。プロセッサ70は、所定のバッファサイズ(例えば、最初の32バイト、64バイト、128バイト、256バイト、512バイト、1024バイト、2056バイトまたは受信された送信に存在する他の量のデータ)の受信されたデータも取り込むことができ、これにより、送信のアイデンティティまたはソースを指標付けするのに役立ち得る可能な属性日付、ブラウザエージェントまたは他の情報の識別を補助する。
ステップ96では、プロセッサ70は、取り込まれた情報のうちのいずれかが、ICS10および/またはコンピュータネットワーク12のホワイトリスト上の情報フィールドと一致するアドレスを含むかどうかを決定することができる。この情報フィールドは例えば、ソースアドレス、ソースポート、宛先アドレス、宛先ポート、プロトコル層(例えば有線/無線、IPv4、IPv6等)、媒体アクセス制御(MAC:media access control)アドレス、MACソースアドレス、MAC宛先アドレス、署名、チェックサム、鍵付きハッシュメッセージ承認コード(HMAC:hash message authentication code)、暗号化ハッシュ、フラグメントオプション、ホップ数、またはこれらのうちのある組み合わせを含んでよい。加えて、ホワイトリストの作成がヘッダ/パケットメタデータに基づきおよび/またはホワイトリストの作成がDPI(ディープパケットインスペクション)に基づくことができるように、パケットペイロードデータ自体を確認することができる。
よって、プロセッサ70は、送信識別情報(例えばフィールド)が、コンピュータネットワーク12および/または制御システムネットワーク16上に存在することを承認されているエンティティのリストまたはレジスタと一致するかどうかを確認することができる。ステップ96においてプロセッサ70が送信の識別情報がホワイトリスト上に存在することを決定した場合、プロセッサ70は、例えば承認された宛名が(侵入を示唆してよい)不規則なアクセスを行ったかどうかを決定するのに使用するためにステップ92においてイベントのログを記録することになる。
しかしながら、ステップ96においてプロセッサ70が送信の識別情報がホワイトリスト上に存在しないことを決定すると、プロセッサ70は(ステップ98において)、検知されたソケット接続の送信者へと偽のデータを送信することにより、不正ユーザの拘束を試みることになる。この偽のデータは例えば(いくつかの実施形態ではnullであり得る)バナー、ランダムデータ返答、およびランダム長返答を含んでよい。ステップ98におけるこの偽のデータ送信は、ヒューマンマシンインターフェース28の正しい動作を模倣する試みであってよく、不正ユーザがICS10に留まる時間を増加させるように動作することができる。侵入者が接続されている(かつICS10および/またはコンピュータネットワーク12の一部にアクセスしようと試みる)時間を増加させることにより、不正ユーザのアイデンティティの決定を補助するために不正ユーザから追加のデータを拾ってよい。加えて、ステップ98の一部として、タールピッティング応答を実施してよく、これにより非ホワイトリストポートに遅延が追加される。即ち、不正アクセスが発生している時間を延長するために接続を意図的に遅延させてよい。更に、ステップ98において追加の種類の遅延を追加してもよい。例えばいくつかの動的再構成が望まれる決定を関与させてよい。したがって、応答を送信する前に、決定を下す第三者に情報を送信し、続いてこの決定をシステムに戻し、トラフィックを遅延させる。
ステップ98において偽のデータを送信した後、偽のデータの送信の前におよび/またはこれに続いて受信されたいずれの情報を、ステップ92においてログ記録することができる。加えて、プロセッサ70は、ICS10および/またはコンピュータネットワーク12の追加要素に侵入者の検知を警告する信号を送信することができ、これによりステップ100において、ホストベースのファイアウォールおよび/またはルートを更新する等の防御手段を実施して、ICS10および/またはコンピュータネットワーク12を保護してよい。
加えて、ステップ102では、セキュリティイベントマネージャ(SEIM:security event manager)エンジンが、ログ記録されたデータにアクセスしていずれのログ記録されたデータを受信することができ、かつ、例えばICS10および/またはコンピュータネットワーク12に関するスクリプトを再構成するか、または検知された承認されていないユーザからのアクセスを回避するための他の防御手段を講じることができる。いくつかの実施形態では、SEIMエンジンは例えば、サーバ26または36(例えばネットワークセキュリティサーバ)上に存在してよい。いくつかの実施形態では、SEIMをログ記録されたデータと併せて利用してよい。例えば、収集された属性データを用いてIDS/侵入回避システム(IPS)署名を生成することができ、(例えばIPSはIDS機能性の上位集合なので)これによりネットワークベースのIDS/IPSを更新することができる。加えておよび/またはあるいは、ログ記録されたデータを用いて、(例えばヒューマンマシンインターフェースと併せてインストールする場合)例えばホストベースのIDSへと更新できる。更にいくつかの実施形態では、例えば制御システム20(例えば制御モジュール48および/またはI/Oカード50)内のファイアウォールの規定ルールを更新することができる。
上述のように、図4は、ダミー送信の利用を通して、ヒューマンマシンインターフェース28がIDSセンサ46をどのように含むことができるか、およびICS10への不正アクセスの検知を補助するハニーポートとしてどのように動作できるかを示す。しかしながら、ICS10の追加要素はIDSセンサ46も含んでよい。例えば以下でより詳細に述べるように、図5を参照すると、制御システム20は1つまたは複数のIDSセンサ46も導入してよい。
図5は、ハニーポートを実行する(即ちIDSセンサ46を含む)制御システム20の動作を説明するフローチャート104を示す。一実施形態では、フローチャート104のステップを、制御システム20により(例えばメモリ54等の有形の機械可読媒体上に記憶されたソフトウェアプログラム、即ちコードを実行するプロセッサ52によりおよび/またはメモリ68等の有形の機械可読媒体上に記憶されたソフトウェアプログラム、即ちコードを実行するプロセッサ66により)部分的にまたは全体的に実行してよい。しかしながら、記述の目的のみのために、フローチャート104のステップを制御システム20のDSP60の動作と併せて説明する(これらのステップを例えば制御システム20の制御モジュール48により実行してもよいことを理解されたい)。
ステップ106では、プロセッサ66はプロトコルBを利用した信号(即ち、ICS10の実際の動作にはリンクされないダミー信号)を生成し、その送信を開始することができる。ステップ108では、プロセッサ66は、信号がプロトコルBの送信を利用して受信されたかどうかを検知するように動作するサーバソケットリスナを生成することができる。前述したように、プロトコルBを用いた信号は、実際にはICS10の動作を示さないが、代わりに悪意のあるユーザが確認を期待する代替のプロトコルを模倣するので、プロセッサ66により受信/検知された送信は、ICS10および/またはコンピュータネットワーク12への不正アクセスを示してよい。サーバソケットリスナが生成されると、ICS10(例えば制御システム20)は、プロトコルBを用いた信号(検知)用の「リスニング」の定常状態へと入ってよい。
ステップ110ではソケット接続が発生する。このステップ110は、プロセッサ66がプロトコルBを用いた送信を検知したことを示す。ステップ112では、プロセッサ66は接続が完全接続かどうかを決定することができる。即ちプロセッサ66は接続が半開である(例えば、完全送信制御プロトコル接続が発生していない)と考えられるかどうかを決定することができる。接続が半開であると考えられる場合、プロセッサ66はステップ114においてイベントをログ記録することができる。ステップ114におけるイベントのログ記録は、例えばストレージ64内および/またはサーバ26(例えばネットワークセキュリティサーバ)内にイベントの指標を記憶することを含んでよい。
しかしながら、ステップ112において接続が完全接続である(例えば完全送信制御プロトコル接続が発生した)ことをプロセッサ66が決定すると、続いて処理はステップ116へと進行できる。ステップ116では、プロセッサ66は例えば、いずれの遠隔クライアント接続、ソースIPアドレス、または通信に存在する他の情報に関連する情報を取り込むことができる。プロセッサ66は、所定のバッファサイズ(例えば、最初の32バイト、64バイト、128バイト、256バイト、512バイト、1024バイト、2056バイトまたは受信された送信に存在する他の量のデータ)の受信されたデータも取り込むことができ、これにより、送信のアイデンティティまたはソースを指標付けするのに役立ち得る可能な属性日付、ブラウザエージェントまたは他の情報の識別を補助する。
ステップ118では、プロセッサ66は、取り込まれた情報のうちのいずれかが、ICS10および/またはコンピュータネットワーク12のホワイトリスト上のアドレスと一致するアドレスを含むかどうかを決定することができる。即ち、プロセッサ66は、送信識別情報が、コンピュータネットワーク12および/または制御システムネットワーク16上に存在することを承認されているエンティティのリストまたはレジスタと一致するかどうかを確認することができる。ステップ118においてプロセッサ66が送信の識別情報がホワイトリスト上に存在することを決定した場合、プロセッサ66は、例えば承認された宛名が(侵入を示唆してよい)不規則なアクセスを行ったかどうかを決定するのに使用するためにステップ114においてイベントのログを記録することになる。
しかしながら、ステップ118においてプロセッサ66が送信の識別情報がホワイトリスト上に存在しないことを決定した場合、プロセッサ66は(ステップ120において)、高度なセキュリティモードへと入り、このモードにより、機械22の制御を遠隔で取って代わることができないように制御システムは特定の種類の送信のみを許可することができる。加えておよび/またはあるいは、高度なセキュリティモードは、検知された侵入者による制御システムへのアクセスを回避するために、例えば制御システムにおいて局所的に物理的なリセットが開始されるまで、制御システム20をロックダウンするステップを含んでよい。加えて、ステップ120の一部として、プロセッサ64は、ステップ114において取り込まれた情報をログ記録し、および/またはステップ126においてログ記録されたデータを確認するためにSEIMエンジンへとメッセージを送信することができる。プロセッサ66は加えてまたはあるいは、ICS10および/またはコンピュータネットワーク12を保護するために、ICS10および/またはコンピュータネットワーク12を動的に更新して、攻撃者を知らせることができる。
加えておよび/またはあるいは、ステップ120に関して上述したプロセッサ66の動作に加えて、制御システム20は、識別情報がステップ118のホワイトリスト上に存在しないことを決定するプロセッサ66に関してステップ122のアクションも実施してよい。ステップ120では、プロセッサ66は、例えば攻撃者と、侵入者からの追加情報を取り込むよう設計されたハニーポットを実行するネットワークセキュリティサーバ(例えばサーバ26または36)との対話を進行させてよい。
したがって、ステップ124では、サーバ26および/または36は、攻撃者を混乱させるためにならびにサーバ26および/または36により法廷用のデータおよび属性データを収集しながら、侵入者を拘束するために、ランダム化された応答または回避的/虚偽の応答を生成することができる。加えて、プロセッサ66ならびにサーバ26および/または36のうちの一方または両方は、ステップ114において収集された情報をログ記録することを介しておよびSEIMエンジンへとメッセージを送信することにより、例えばSEIMエンジンへと情報を送信して、ステップ126においてログ記録されたデータを確認することができる。プロセッサ66ならびに/またはサーバ26および/もしくは36は加えてまたはあるいは、ICS10および/またはコンピュータネットワーク12を保護するために、ICS10および/またはコンピュータネットワーク12を動的に更新して、攻撃者を知らせることができる。
この様式では、ICS10は、IDSセンサ46を組み込むことができる別個の要素を含んでよい。これらのセンサ46ならびにセンサ46を利用した技術は、ICS10へのアクセスを試みる不正ユーザの検知を補助してよい。よって、実際のICS10送信を反映してよいおとりの即ち偽の送信を送信するように動作するハニーポートの使用を通して、攻撃者をより簡単に識別でき、攻撃者のアイデンティティに関連する情報を取り込むことができ、同時に加えて、ICS10および/またはコンピュータネットワーク12を検知された侵入から保護するためにネットワークセキュリティの更新を可能にする。
この記載された説明は、上述の説明を開示するために最良の形態を含めて、例を用いており、いずれのデバイスまたはシステムを作製および使用すること、ならびにいずれの組み込まれた方法を実行することを含む本開示をいずれの当業者が実施できるようにする。本開示の特許性のある範囲は請求項により定義され、当業者に想起される他の例を含んでよい。このような他の例は、請求項の文字上の言葉と異ならない構造的要素を有する場合、または請求項の文字上の言葉とわずかな違いしかない均等の構造的要素を含む場合、請求項の範囲内に入るものとする。
10 産業用制御システム
12 コンピュータネットワーク
14 フィールドロケーション
16 制御システムネットワーク
18 通信インターフェース
20 制御システム
22 機械
24、30、34 信号経路
26、36 サーバ
28、38 ヒューマンマシンインターフェース
32 ファイアウォール
40 インターフェース
42 バックアップ制御センタ
44 インターネット
46 IDSセンサ
48 制御モジュール
50 入力/出力(I/O)カード
52、66、70 プロセッサ
54、68、72 メモリ
56 入力/出力(I/O)インターフェース
58 内部バス
60 デジタル信号プロセッサ
62 I/Oインターフェース
64、74 ストレージ
76 ディスプレイ
78 入力/出力(I/O)ポート
80 ネットワークインターフェース
12 コンピュータネットワーク
14 フィールドロケーション
16 制御システムネットワーク
18 通信インターフェース
20 制御システム
22 機械
24、30、34 信号経路
26、36 サーバ
28、38 ヒューマンマシンインターフェース
32 ファイアウォール
40 インターフェース
42 バックアップ制御センタ
44 インターネット
46 IDSセンサ
48 制御モジュール
50 入力/出力(I/O)カード
52、66、70 プロセッサ
54、68、72 メモリ
56 入力/出力(I/O)インターフェース
58 内部バス
60 デジタル信号プロセッサ
62 I/Oインターフェース
64、74 ストレージ
76 ディスプレイ
78 入力/出力(I/O)ポート
80 ネットワークインターフェース
Claims (20)
- 第1の通信プロトコルを用いて第1の信号を生成し、
第2の通信プロトコルを用いて第2の信号を生成し、かつ
前記第1の信号および前記第2の信号を送信する
ように構成されたプロセッサを備え、
前記第1の信号は、前記第1の通信プロトコルを使用する前記プロセッサに送信されるデータに対応し、
前記第1の通信プロトコルは、前記プロセッサと、ネットワークで前記プロセッサに結合された少なくとも1つのノードとの間の通信で利用される共通のプロトコルであり、
前記第2の信号は、前記プロセッサにより生成されるおとりのデータを含み、
前記第2の信号は、前記プロセッサに送信される前記データとは無関係に生成され、
前記第1の信号は前記ノードによって受け取られるための実際の信号として送信され、前記第2の信号はおとりの信号として前記第1の信号と並行して送信される、
デバイス。 - 前記プロセッサは、前記第1の信号および前記第2の信号を同時に送信するように構成される、請求項1に記載のデバイス。
- 前記プロセッサは、前記第1の信号および前記第2の信号を連続的に送信するように構成される、請求項1に記載のデバイス。
- 前記プロセッサは、前記第2の信号を用いた送信を検知するように構成される、請求項1から3のいずれかに記載のデバイス。
- 前記プロセッサは、前記送信に存在するデータを取り込むように構成される、請求項4に記載のデバイス。
- 前記プロセッサは、前記取り込まれたデータを分析して、前記取り込まれたデータの一部が承認されたデータの集合の一部と一致するかどうかを決定するように構成される、請求項5に記載のデバイス。
- 前記プロセッサは、前記取り込まれたデータの一部が、前記承認されたデータの集合の一部と一致しない時に、前記第2の通信プロトコルを用いて第3の信号を前記おとりのデータとして生成および送信するように構成され、
前記第3の信号は、バナー、ランダムデータ返答、またはランダム長返答を含み、
前記第3の信号は、ヒューマンマシンインターフェースの正しい動作の模倣である、
請求項6に記載のデバイス。 - 前記プロセッサは、前記取り込まれたデータの一部が、前記承認されたデータの集合の一部と一致しない時に、不正ネットワークアクセスの指標を生成および送信するように構成される、請求項6または7に記載のデバイス。
- 前記プロセッサは、前記取り込まれたデータをログ記録するために前記取り込まれたデータをストレージに送信するように構成される、請求項5から8のいずれかに記載のデバイス。
- 前記プロセッサは、前記取り込まれたデータとしてデータの少なくとも32バイトを取り込むように構成される、請求項5から9のいずれかに記載のデバイス。
- コンピュータが実行可能なコードを記憶した、非一時的コンピュータ可読媒体であって、前記コードは、
データを受信し、
第1の通信プロトコルを用いて第1の信号を生成し、
第2の通信プロトコルを用いて第2の信号を生成し、かつ
前記第1の信号および前記第2の信号を送信する
ための命令からなり、
前記第1の信号は、前記第1の通信プロトコルを使用するプロセッサに送信されるデータに対応し、
前記第1の通信プロトコルは、前記プロセッサと、ネットワークで前記プロセッサに結合された少なくとも1つのノードとの間の通信で利用される共通のプロトコルであり、
前記第2の信号は、前記プロセッサにより生成されるおとりのデータを含み、
前記第2の信号は、前記プロセッサに送信される前記データとは無関係に生成され、
前記第1の信号は前記ノードによって受け取られるための実際の信号として送信され、前記第2の信号はおとりの信号として前記第1の信号と並行して送信される、
非一時的コンピュータ可読媒体。 - 前記コードは、前記第2の通信プロトコルを用いた送信を検知するための命令を含む、請求項11に記載の非一時的コンピュータ可読媒体。
- 前記コードは、前記送信に存在するデータを取り込むための命令を含む、請求項12に記載の非一時的コンピュータ可読媒体。
- 前記コードは、前記取り込まれたデータを分析して、前記取り込まれたデータの一部が承認されたデータの集合の一部と一致するかどうかを決定するための命令を含む、請求項13に記載の非一時的コンピュータ可読媒体。
- 前記コードは、前記取り込まれたデータの一部が、前記承認されたデータの集合の一部と一致しない時に、前記第2の通信プロトコルを用いて第3の信号を生成および送信するための命令を含み、
前記第3の信号は、バナー、ランダムデータ返答、またはランダム長返答を含み、
前記第3の信号は、ヒューマンマシンインターフェースの正しい動作の模倣である、
請求項14に記載の非一時的コンピュータ可読媒体。 - 前記コードは、前記取り込まれたデータの一部が、前記承認されたデータの集合の一部と一致しない時に、不正ネットワークアクセスの指標を生成および送信するための命令を含む、請求項14または15に記載の非一時的コンピュータ可読媒体。
- 前記コードは、前記取り込まれたデータをログ記録するために前記取り込まれたデータをストレージに送信するための命令を含む、請求項13から16のいずれかに記載の非一時的コンピュータ可読媒体。
- 命令を記憶するように構成されたメモリと、
機械の動作特性に対応したデータを受信し、
機械に関連する第1の通信プロトコルを用いて第1の信号を生成し、
機械に関連する第2の通信プロトコルを用いて第2の信号を生成し、かつ
前記第1の信号および前記第2の信号を送信する
ための前記記憶された命令を実行するように構成されたプロセッサと、
を備え、
前記第1の信号は、前記第1の通信プロトコルを使用する前記プロセッサに送信されるデータに対応し、
前記第1の通信プロトコルは、前記プロセッサと、ネットワークで前記プロセッサに結合された少なくとも1つのノードとの間の通信で利用される共通のプロトコルであり、
前記第2の信号は、前記プロセッサにより生成されるおとりのデータを含み、
前記第2の信号は、前記プロセッサに送信される前記データとは無関係に生成され、
前記第1の信号は前記ノードによって受け取られるための実際の信号として送信され、前記第2の信号はおとりの信号として前記第1の信号と並行して送信される、
デバイス。 - 前記プロセッサは、前記第2の通信プロトコルを用いた遠隔ユーザからの送信を検知するように構成される、請求項18に記載のデバイス。
- 前記プロセッサは、前記遠隔ユーザとサーバとの対話を進行させるように構成される、請求項19に記載のデバイス。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/907,867 US9436652B2 (en) | 2013-06-01 | 2013-06-01 | Honeyport active network security |
| US13/907,867 | 2013-06-01 | ||
| PCT/US2014/034751 WO2014193559A1 (en) | 2013-06-01 | 2014-04-21 | Honeyport active network security |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016520237A JP2016520237A (ja) | 2016-07-11 |
| JP6634009B2 true JP6634009B2 (ja) | 2020-01-22 |
Family
ID=51986744
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016516653A Active JP6634009B2 (ja) | 2013-06-01 | 2014-04-21 | ハニーポートが有効なネットワークセキュリティ |
Country Status (6)
| Country | Link |
|---|---|
| US (2) | US9436652B2 (ja) |
| JP (1) | JP6634009B2 (ja) |
| CN (1) | CN105493060B (ja) |
| CA (1) | CA2913015C (ja) |
| CH (1) | CH709950B1 (ja) |
| WO (1) | WO2014193559A1 (ja) |
Families Citing this family (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015182103A1 (ja) * | 2014-05-29 | 2015-12-03 | パナソニックIpマネジメント株式会社 | 送信装置、受信装置、送信方法および受信方法 |
| US10193924B2 (en) * | 2014-09-17 | 2019-01-29 | Acalvio Technologies, Inc. | Network intrusion diversion using a software defined network |
| WO2016058802A1 (en) * | 2014-10-14 | 2016-04-21 | Sicpa Holding Sa | Interface with secure intermediary platform to generate data compatible with an external system in an oil and gas asset supply chain |
| US9602536B1 (en) | 2014-12-04 | 2017-03-21 | Amazon Technologies, Inc. | Virtualized network honeypots |
| US9923908B2 (en) | 2015-04-29 | 2018-03-20 | International Business Machines Corporation | Data protection in a networked computing environment |
| US9462013B1 (en) | 2015-04-29 | 2016-10-04 | International Business Machines Corporation | Managing security breaches in a networked computing environment |
| US9954870B2 (en) | 2015-04-29 | 2018-04-24 | International Business Machines Corporation | System conversion in a networked computing environment |
| US10382484B2 (en) | 2015-06-08 | 2019-08-13 | Illusive Networks Ltd. | Detecting attackers who target containerized clusters |
| US9553885B2 (en) | 2015-06-08 | 2017-01-24 | Illusive Networks Ltd. | System and method for creation, deployment and management of augmented attacker map |
| US10135862B1 (en) * | 2015-12-04 | 2018-11-20 | Amazon Technologies, Inc. | Testing security incident response through automated injection of known indicators of compromise |
| US9998487B2 (en) | 2016-04-25 | 2018-06-12 | General Electric Company | Domain level threat detection for industrial asset control system |
| US11005863B2 (en) | 2016-06-10 | 2021-05-11 | General Electric Company | Threat detection and localization for monitoring nodes of an industrial asset control system |
| EP3291501A1 (en) * | 2016-08-31 | 2018-03-07 | Siemens Aktiengesellschaft | System and method for using a virtual honeypot in an industrial automation system and cloud connector |
| US10678912B2 (en) | 2016-11-15 | 2020-06-09 | General Electric Company | Dynamic normalization of monitoring node data for threat detection in industrial asset control system |
| US10616280B2 (en) | 2017-10-25 | 2020-04-07 | Bank Of America Corporation | Network security system with cognitive engine for dynamic automation |
| US10659482B2 (en) * | 2017-10-25 | 2020-05-19 | Bank Of America Corporation | Robotic process automation resource insulation system |
| US10503627B2 (en) | 2017-10-30 | 2019-12-10 | Bank Of America Corporation | Robotic process automation enabled file dissection for error diagnosis and correction |
| US10575231B2 (en) | 2017-11-03 | 2020-02-25 | Bank Of America Corporation | System for connection channel adaption using robotic automation |
| JP2019096223A (ja) * | 2017-11-27 | 2019-06-20 | 東芝三菱電機産業システム株式会社 | 制御システム用マルウェア対策システムおよび制御システム用マルウェアチェックコンピュータ |
| US10606687B2 (en) | 2017-12-04 | 2020-03-31 | Bank Of America Corporation | Process automation action repository and assembler |
| CN108366088A (zh) * | 2017-12-28 | 2018-08-03 | 广州华夏职业学院 | 一种用于教学网络系统的信息安全预警系统 |
| US10333976B1 (en) | 2018-07-23 | 2019-06-25 | Illusive Networks Ltd. | Open source intelligence deceptions |
| US10404747B1 (en) | 2018-07-24 | 2019-09-03 | Illusive Networks Ltd. | Detecting malicious activity by using endemic network hosts as decoys |
| US10382483B1 (en) | 2018-08-02 | 2019-08-13 | Illusive Networks Ltd. | User-customized deceptions and their deployment in networks |
| US10333977B1 (en) | 2018-08-23 | 2019-06-25 | Illusive Networks Ltd. | Deceiving an attacker who is harvesting credentials |
| US10432665B1 (en) | 2018-09-03 | 2019-10-01 | Illusive Networks Ltd. | Creating, managing and deploying deceptions on mobile devices |
| FR3087910A1 (fr) * | 2018-10-26 | 2020-05-01 | Serenicity | Dispositif d’enregistrement d’intrusion informatique |
| US11205330B2 (en) * | 2018-11-30 | 2021-12-21 | Indyme Solutions, Llc | Anti-theft response randomizer |
| US11277380B2 (en) * | 2018-12-17 | 2022-03-15 | T-Mobile Usa, Inc. | Adaptive malicious network traffic response |
| WO2020209837A1 (en) * | 2019-04-09 | 2020-10-15 | Siemens Aktiengesellschaft | Industrial process system threat detection |
| CN112583763B (zh) * | 2019-09-27 | 2022-09-09 | 财团法人资讯工业策进会 | 入侵侦测装置以及入侵侦测方法 |
| WO2022169017A1 (ko) * | 2021-02-05 | 2022-08-11 | (주)나무소프트 | 데이터 보호 시스템 |
| US11790081B2 (en) | 2021-04-14 | 2023-10-17 | General Electric Company | Systems and methods for controlling an industrial asset in the presence of a cyber-attack |
| CN114389863B (zh) * | 2021-12-28 | 2024-02-13 | 绿盟科技集团股份有限公司 | 一种蜜罐交互的方法、装置、蜜罐网络、设备及存储介质 |
| CN114978768B (zh) * | 2022-07-13 | 2023-04-18 | 上海大学 | 一种基于Conpot的网络化控制系统蜜罐 |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3986871B2 (ja) * | 2002-04-17 | 2007-10-03 | 株式会社エヌ・ティ・ティ・データ | アンチプロファイリング装置およびアンチプロファイリングプログラム |
| US7086089B2 (en) | 2002-05-20 | 2006-08-01 | Airdefense, Inc. | Systems and methods for network security |
| JP3794491B2 (ja) * | 2002-08-20 | 2006-07-05 | 日本電気株式会社 | 攻撃防御システムおよび攻撃防御方法 |
| JP2004336527A (ja) * | 2003-05-09 | 2004-11-25 | Pioneer Electronic Corp | データ処理装置、そのシステム、その方法、そのプログラム、および、そのプログラムを記録した記録媒体 |
| CA2604544A1 (en) * | 2005-04-18 | 2006-10-26 | The Trustees Of Columbia University In The City Of New York | Systems and methods for detecting and inhibiting attacks using honeypots |
| US8479288B2 (en) | 2006-07-21 | 2013-07-02 | Research In Motion Limited | Method and system for providing a honeypot mode for an electronic device |
| WO2008011376A2 (en) | 2006-07-21 | 2008-01-24 | General Electric Company | System and method for providing network device authentication |
| JP4304249B2 (ja) * | 2007-01-04 | 2009-07-29 | 国立大学法人 大分大学 | スキャン攻撃不正侵入防御装置 |
| US7962957B2 (en) * | 2007-04-23 | 2011-06-14 | International Business Machines Corporation | Method and apparatus for detecting port scans with fake source address |
| US20120084866A1 (en) * | 2007-06-12 | 2012-04-05 | Stolfo Salvatore J | Methods, systems, and media for measuring computer security |
| US8181249B2 (en) * | 2008-02-29 | 2012-05-15 | Alcatel Lucent | Malware detection system and method |
| US20120246724A1 (en) * | 2009-12-04 | 2012-09-27 | Invicta Networks, Inc. | System and method for detecting and displaying cyber attacks |
| JP5088403B2 (ja) * | 2010-08-02 | 2012-12-05 | 横河電機株式会社 | 不正通信検出システム |
| US8826437B2 (en) | 2010-12-14 | 2014-09-02 | General Electric Company | Intelligent system and method for mitigating cyber attacks in critical systems through controlling latency of messages in a communications network |
| JP5697206B2 (ja) * | 2011-03-31 | 2015-04-08 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 不正アクセスに対する防御をするシステム、方法およびプログラム |
| US8612743B2 (en) | 2011-07-26 | 2013-12-17 | The Boeing Company | Wireless network security |
| AU2012301897B2 (en) * | 2011-08-30 | 2017-04-13 | Ov Loop Inc. | Systems and methods for authorizing a transaction with an unexpected cryptogram |
| US8970317B2 (en) * | 2011-12-23 | 2015-03-03 | Tyco Electronics Corporation | Contactless connector |
| US9071637B2 (en) * | 2012-11-14 | 2015-06-30 | Click Security, Inc. | Automated security analytics platform |
-
2013
- 2013-06-01 US US13/907,867 patent/US9436652B2/en active Active
-
2014
- 2014-04-21 JP JP2016516653A patent/JP6634009B2/ja active Active
- 2014-04-21 WO PCT/US2014/034751 patent/WO2014193559A1/en active Application Filing
- 2014-04-21 CN CN201480031431.2A patent/CN105493060B/zh active Active
- 2014-04-21 CH CH01742/15A patent/CH709950B1/de unknown
- 2014-04-21 CA CA2913015A patent/CA2913015C/en active Active
-
2016
- 2016-09-02 US US15/256,150 patent/US9838426B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US9436652B2 (en) | 2016-09-06 |
| JP2016520237A (ja) | 2016-07-11 |
| CA2913015A1 (en) | 2014-12-04 |
| WO2014193559A1 (en) | 2014-12-04 |
| US20160373483A1 (en) | 2016-12-22 |
| CH709950A1 (de) | 2014-12-04 |
| CA2913015C (en) | 2021-12-07 |
| US20140359708A1 (en) | 2014-12-04 |
| US9838426B2 (en) | 2017-12-05 |
| CN105493060A (zh) | 2016-04-13 |
| CH709950B1 (de) | 2018-06-29 |
| CN105493060B (zh) | 2019-04-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6634009B2 (ja) | ハニーポートが有効なネットワークセキュリティ | |
| Habibi et al. | Heimdall: Mitigating the internet of insecure things | |
| EP3535657B1 (en) | Extracting encryption metadata and terminating malicious connections using machine learning | |
| JP6106780B2 (ja) | マルウェア解析システム | |
| US9942270B2 (en) | Database deception in directory services | |
| US20220060498A1 (en) | System and method for monitoring and securing communications networks and associated devices | |
| CN1656731A (zh) | 基于多方法网关的网络安全系统和方法 | |
| JP6086423B2 (ja) | 複数センサの観測情報の突合による不正通信検知方法 | |
| CN111917705A (zh) | 用于自动入侵检测的系统和方法 | |
| Agrawal et al. | Wireless rogue access point detection using shadow honeynet | |
| Al-Shareeda et al. | Sadetection: Security mechanisms to detect slaac attack in ipv6 link-local network | |
| JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| Patel et al. | A Snort-based secure edge router for smart home | |
| JP2017201774A (ja) | 通信装置、通信方法、及びプログラム | |
| Bharti et al. | Prevention of Session Hijacking and IP Spoofing With Sensor Nodes and Cryptographic Approach | |
| Cao et al. | Mimichunter: A general passive network protocol mimicry detection framework | |
| Hyppönen | Securing a Linux Server Against Cyber Attacks | |
| Holik | Protecting IoT Devices with Software-Defined Networks | |
| Selvaraj et al. | Enhancing intrusion detection system performance using firecol protection services based honeypot system | |
| Hunter | Virtual Honeypots: Management, attack analysis and democracy | |
| Misbahuddin et al. | Dynamic IDP Signature processing by fast elimination using DFA | |
| Hu | IPv6 Network Security Monitoring: Similarities and Differences from IPv4 | |
| Bhaturkar et al. | Prevention of Session Hijacking and IP Spoofing With Sensor Nodes and Cryptographic Approach | |
| Zaffar et al. | Cooperative forensics sharing | |
| Salminen | Cyber security in home and small office local area networks-Attack vectors and vulnerabilities |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170407 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180123 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180213 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180510 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20181009 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181221 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20190517 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191105 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20191126 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20191213 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6634009 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R371 | Transfer withdrawn |
Free format text: JAPANESE INTERMEDIATE CODE: R371 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |