JP6711710B2 - 監視装置、監視方法および監視プログラム - Google Patents
監視装置、監視方法および監視プログラム Download PDFInfo
- Publication number
- JP6711710B2 JP6711710B2 JP2016135304A JP2016135304A JP6711710B2 JP 6711710 B2 JP6711710 B2 JP 6711710B2 JP 2016135304 A JP2016135304 A JP 2016135304A JP 2016135304 A JP2016135304 A JP 2016135304A JP 6711710 B2 JP6711710 B2 JP 6711710B2
- Authority
- JP
- Japan
- Prior art keywords
- network
- communication
- communication log
- packet
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012806 monitoring device Methods 0.000 title claims description 58
- 238000000034 method Methods 0.000 title claims description 38
- 238000012544 monitoring process Methods 0.000 title claims description 21
- 238000004891 communication Methods 0.000 claims description 302
- 238000001514 detection method Methods 0.000 claims description 93
- 230000005540 biological transmission Effects 0.000 claims description 47
- 230000005856 abnormality Effects 0.000 claims description 31
- 230000008569 process Effects 0.000 claims description 21
- 230000008859 change Effects 0.000 claims description 15
- 230000000694 effects Effects 0.000 claims description 6
- 208000015181 infectious disease Diseases 0.000 claims description 4
- 238000003860 storage Methods 0.000 description 31
- 238000012545 processing Methods 0.000 description 23
- 238000010586 diagram Methods 0.000 description 16
- 238000013500 data storage Methods 0.000 description 10
- 238000013461 design Methods 0.000 description 7
- 238000007726 management method Methods 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 230000004308 accommodation Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000012552 review Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000007796 conventional method Methods 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012706 support-vector machine Methods 0.000 description 2
- 244000035744 Hura crepitans Species 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
図1は、第1の実施形態に係る通信システムの構成の一例を示す図である。第1の実施形態に係る通信システムは、監視装置10、ファイアウォール20、複数のゲートウェイ30A〜30C、ITネットワーク40および複数のOTネットワーク50A〜50Cを有する。また、各ゲートウェイ30A〜30Cは、IP(Internet Protocol)ネットワーク60を介してファイアウォール20と接続されている。また、監視装置10は、インターネット70を介してファイアウォール20と接続されている。なお、図1に示す構成は一例にすぎず、具体的な構成や各装置の数は特に限定されない。また、複数のゲートウェイ30A〜30C、複数のOTネットワーク50A〜50Cについて、特に区別なく説明する場合には、適宜ゲートウェイ30、OTネットワーク50と記載する。
次に、図2を用いて、図1に示した監視装置10の構成を説明する。図2は、第1の実施形態に係る監視装置の構成例を示すブロック図である。図2に示すように、この監視装置10は、通信処理部11、入力部12、出力部13、制御部14および記憶部15を有する。
次に、図10および図11を用いて、第1の実施形態に係る監視装置10による処理手順の例を説明する。図10は、第1の実施形態に係る監視装置における学習処理の流れの一例を示すフローチャートである。図11は、第1の実施形態に係る監視装置における監視処理の流れの一例を示すフローチャートである。
第1の実施形態に係る監視装置10は、ITネットワーク40およびOTネットワーク50の両方から各ネットワークで送受信されたパケットの通信ログをファイアウォール20から取得する。そして、監視装置10は、取得された通信ログからパケットの宛先数、パケットのデータサイズであるパケットサイズおよびダウンロードのデータサイズとアップロードのデータサイズとの比率のうち、いずれか一つまたは複数に基づいて、通信ログがITネットワーク40の通信ログであるのかOTネットワーク50の通信ログであるのかを判定する。このため、ITネットワーク40およびOTネットワーク50それぞれの監視を容易に行うことが可能である。つまり、ITネットワーク40およびOTネットワーク50とでは、それぞれ重視しているセキュリティ脅威が異なるが、ファイアウォール20の通信ログを取得するのみで、ITネットワーク40の通信ログと、OTネットワーク50の通信ログとに判別し、それぞれの通信ログに適した解析処理等を行うことができるので、専用のセキュリティ対策設備を設けることなく、両ネットワークの監視を容易に行うことが可能である。また、ITネットワーク40およびOTネットワーク50の資産情報等を事前に登録することなく、通信ログを自動で判定するので、ユーザの手間がかからないという効果を奏する。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、上記実施形態において説明した監視装置が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。例えば、実施形態に係る監視装置10が実行する処理をコンピュータが実行可能な言語で記述した監視プログラムを作成することもできる。この場合、コンピュータが監視プログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかる監視プログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録された監視プログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。
11 通信処理部
12 入力部
13 出力部
14 制御部
14a 取得部
14b 判定部
14c 学習部
14d 検知部
14e 受信部
14f 生成部
14g 検出部
14h アラート発出部
15 記憶部
15a スコア情報記憶部
15b 学習データ記憶部
15c OT/ITリスト記憶部
20 ファイアウォール
30、30A〜30C ゲートウェイ
40 ITネットワーク
50、50A〜50C OTネットワーク
60 IPネットワーク
70 インターネット
Claims (8)
- ITネットワークおよびOTネットワークの両方から各ネットワークで送受信されたパケットの通信ログを取得する取得手段と、
前記取得手段によって取得された通信ログからパケットの宛先数、パケットサイズおよびダウンロードのデータサイズとアップロードのデータサイズとの比率のうち、いずれか一つまたは複数に基づいて、前記通信ログがITネットワークの通信ログであるのかOTネットワークの通信ログであるのかを判定する判定手段と、
前記OTネットワークの通信ログのうち、送信元、送信先および通信プロトコルが同一のパケットごとに、パケットサイズとパケットの通信頻度とパケット間の通信間隔とを学習し、学習データを生成する学習手段と、
検知対象の通信ログを取得し、該検知対象の通信ログにおけるパケットと、該パケットと送信元、送信先および通信プロトコルが同一の学習データとを比較し、該比較結果に応じて、前記検知対象の通信ログの異常を検知する検知手段と、
を備え、
前記検知手段は、前記検知対象の通信ログと前記学習データとを比較した結果、前記検知対象の通信ログが前記学習データよりもパケットサイズが小さく、通信頻度が少なく、且つ、通信間隔が長いと判定した場合には、前記OTネットワークにおいて障害部位が存在する可能性があるものと判定して、前記検知対象の通信ログの異常を検知し、前記検知対象の通信ログが学習データよりもデータサイズが大きく、通信頻度が多く、且つ、通信間隔が短いと判定した場合には、前記OTネットワークにおいて成りすましやマルウェアの感染後の活動の可能性があるものと判定して、前記通信ログの異常を検知することを特徴とする監視装置。 - 前記判定手段は、送信元が同一の通信ログごとに、前記宛先数、前記パケットサイズおよび前記比率をそれぞれ算出し、算出した前記宛先数、前記パケットサイズおよび前記比率に応じて、OTネットワークの通信ログの特徴の度合いを示すスコアを計算し、該スコアが所定の閾値超えている場合には、前記通信ログがOTネットワークの通信ログであると判定し、前記スコアが所定の閾値以下である場合には、前記通信ログがITネットワークの通信ログであると判定することを特徴とする請求項1に記載の監視装置。
- 前記OTネットワークにおける各デバイスの経路情報を受信する受信手段と、
前記経路情報に基づいて、前記OTネットワークにおけるデバイス間の接続関係を示すトポロジ情報を生成する生成手段と、
前記生成手段によって生成されたトポロジ情報から該トポロジ情報の変動を監視し、前記トポロジ情報の変動に基づいて、前記OTネットワークにおいて障害が発生したデバイスを検出する検出手段と、
をさらに備えることを特徴とする請求項1に記載の監視装置。 - 前記受信手段は、前記経路情報とともに、デバイス間の電波強度を示す隣接ノード情報を受信し、
前記検出手段は、前記トポロジ情報の変動に基づいて、前記OTネットワークにおいて障害が発生したデバイスを検出するとともに、前記隣接ノード情報からデバイス間の電波強度を監視し、デバイス間の電波強度の品質の悪いデバイスを前記OTネットワークにおいて障害が発生したデバイスとして検出することを特徴とする請求項3に記載の監視装置。 - 前記検出手段は、前記OTネットワークにおいて障害が発生したデバイスを検出し、障害が発生した各デバイスについて、所定期間において障害発生した際の他のデバイスとの接続数を計数し、前記所定期間における該接続数の合計が所定の閾値を超えたデバイスを、接続状態が不安定な状態にあるデバイスとして特定することを特徴とする請求項3に記載の監視装置。
- 前記検出手段は、前記OTネットワークにおいて障害が発生したデバイスを検出し、障害が発生した各デバイスについて、所定期間内において各デバイスの障害が発生した回数をカウントし、該回数が所定の閾値を超えたデバイスを特定することを特徴とする請求項3に記載の監視装置。
- 監視装置によって実行される監視方法であって、
ITネットワークおよびOTネットワークの両方から各ネットワークで送受信されたパケットの通信ログを取得する取得工程と、
前記取得工程によって取得された通信ログからパケットの宛先数、パケットサイズおよびダウンロードのデータサイズとアップロードのデータサイズとの比率のうち、いずれか一つまたは複数に基づいて、前記通信ログがITネットワークの通信ログであるのかOTネットワークの通信ログであるのかを判定する判定工程と、
前記OTネットワークの通信ログのうち、送信元、送信先および通信プロトコルが同一のパケットごとに、パケットサイズとパケットの通信頻度とパケット間の通信間隔とを学習し、学習データを生成する学習工程と、
検知対象の通信ログを取得し、該検知対象の通信ログにおけるパケットと、該パケットと送信元、送信先および通信プロトコルが同一の学習データとを比較し、該比較結果に応じて、前記検知対象の通信ログの異常を検知する検知工程と、
を含み、
前記検知工程は、前記検知対象の通信ログと前記学習データとを比較した結果、前記検知対象の通信ログが前記学習データよりもパケットサイズが小さく、通信頻度が少なく、且つ、通信間隔が長いと判定した場合には、前記OTネットワークにおいて障害部位が存在する可能性があるものと判定して、前記検知対象の通信ログの異常を検知し、前記検知対象の通信ログが学習データよりもデータサイズが大きく、通信頻度が多く、且つ、通信間隔が短いと判定した場合には、前記OTネットワークにおいて成りすましやマルウェアの感染後の活動の可能性があるものと判定して、前記通信ログの異常を検知することを特徴とする監視方法。 - ITネットワークおよびOTネットワークの両方から各ネットワークで送受信されたパケットの通信ログを取得する取得ステップと、
前記取得ステップによって取得された通信ログからパケットの宛先数、パケットサイズおよびダウンロードのデータサイズとアップロードのデータサイズとの比率のうち、いずれか一つまたは複数に基づいて、前記通信ログがITネットワークの通信ログであるのかOTネットワークの通信ログであるのかを判定する判定ステップと、
前記OTネットワークの通信ログのうち、送信元、送信先および通信プロトコルが同一のパケットごとに、パケットサイズとパケットの通信頻度とパケット間の通信間隔とを学習し、学習データを生成する学習ステップと、
検知対象の通信ログを取得し、該検知対象の通信ログにおけるパケットと、該パケットと送信元、送信先および通信プロトコルが同一の学習データとを比較し、該比較結果に応じて、前記検知対象の通信ログの異常を検知する検知ステップと、
をコンピュータに実行させ、
前記検知ステップは、前記検知対象の通信ログと前記学習データとを比較した結果、前記検知対象の通信ログが前記学習データよりもパケットサイズが小さく、通信頻度が少なく、且つ、通信間隔が長いと判定した場合には、前記OTネットワークにおいて障害部位が存在する可能性があるものと判定して、前記検知対象の通信ログの異常を検知し、前記検知対象の通信ログが学習データよりもデータサイズが大きく、通信頻度が多く、且つ、通信間隔が短いと判定した場合には、前記OTネットワークにおいて成りすましやマルウェアの感染後の活動の可能性があるものと判定して、前記通信ログの異常を検知することを特徴とする監視プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016135304A JP6711710B2 (ja) | 2016-07-07 | 2016-07-07 | 監視装置、監視方法および監視プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016135304A JP6711710B2 (ja) | 2016-07-07 | 2016-07-07 | 監視装置、監視方法および監視プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018007179A JP2018007179A (ja) | 2018-01-11 |
JP6711710B2 true JP6711710B2 (ja) | 2020-06-17 |
Family
ID=60949504
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016135304A Active JP6711710B2 (ja) | 2016-07-07 | 2016-07-07 | 監視装置、監視方法および監視プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6711710B2 (ja) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019125914A (ja) | 2018-01-16 | 2019-07-25 | アラクサラネットワークス株式会社 | 通信装置及びプログラム |
JP6937251B2 (ja) * | 2018-01-24 | 2021-09-22 | 株式会社東芝 | 異常要因判定装置、制御システム、および異常要因判定方法 |
JP7109391B2 (ja) | 2019-02-26 | 2022-07-29 | 株式会社日立製作所 | 不正通信検知装置および不正通信検知プログラム |
JP7339542B2 (ja) * | 2020-01-29 | 2023-09-06 | 富士通株式会社 | 管理装置、管理システムおよび管理方法 |
WO2021192191A1 (ja) | 2020-03-27 | 2021-09-30 | 日本電気株式会社 | 異常アクセス予測システム、異常アクセス予測方法およびプログラム記録媒体 |
JP7420247B2 (ja) | 2020-05-29 | 2024-01-23 | 日本電気株式会社 | 計量学習装置、計量学習方法、計量学習プログラム、及び検索装置 |
JP2023144705A (ja) * | 2022-03-28 | 2023-10-11 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 処理装置、処理方法及び処理プログラム |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4228772B2 (ja) * | 2003-05-12 | 2009-02-25 | 富士通株式会社 | ネットワーク監視方法およびネットワーク監視装置 |
JP5655191B2 (ja) * | 2011-06-28 | 2015-01-21 | 日本電信電話株式会社 | 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム |
JP5812282B2 (ja) * | 2011-12-16 | 2015-11-11 | 公立大学法人大阪市立大学 | トラヒック監視装置 |
JP2014232923A (ja) * | 2013-05-28 | 2014-12-11 | 日本電気株式会社 | 通信装置、サイバー攻撃検出方法、及びプログラム |
JP2015043522A (ja) * | 2013-08-26 | 2015-03-05 | 株式会社日立製作所 | ゲートウェイ装置、パケット振り分け制御方法および無線通信システム |
GB2519341A (en) * | 2013-10-18 | 2015-04-22 | Nec Corp | Data transmission from mobile radio communications device |
JP2016046669A (ja) * | 2014-08-22 | 2016-04-04 | 沖電気工業株式会社 | パケット処理装置、プログラム及び方法 |
-
2016
- 2016-07-07 JP JP2016135304A patent/JP6711710B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2018007179A (ja) | 2018-01-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6711710B2 (ja) | 監視装置、監視方法および監視プログラム | |
US10560280B2 (en) | Network security analysis for smart appliances | |
US10681079B2 (en) | Method for mitigation of cyber attacks on industrial control systems | |
EP3635914B1 (en) | Anomaly detection in computer networks | |
US9860278B2 (en) | Log analyzing device, information processing method, and program | |
US10097572B1 (en) | Security for network computing environment based on power consumption of network devices | |
US20160330225A1 (en) | Systems, Methods, and Devices for Detecting Anomalies in an Industrial Control System | |
US20230156471A1 (en) | Adaptive scanning | |
JP6258562B2 (ja) | 中継装置、ネットワーク監視システム及びプログラム | |
US20210099473A1 (en) | Anomaly detection including property changes | |
CA2844225A1 (en) | Intelligent cyberphysical intrusion detection and prevention systems and methods for industrial control systems | |
JP2015171052A (ja) | 識別装置、識別プログラム、及び識別方法 | |
KR101585342B1 (ko) | 이상행위 탐지 장치 및 방법 | |
GB2532630A (en) | Network intrusion alarm method and system for nuclear power station | |
KR101281456B1 (ko) | 자기 유사성을 이용한 scada 네트워크의 이상증후를 탐지하는 장치 및 방법 | |
EP3286650B1 (en) | Network security analysis for smart appliances | |
CN109743339B (zh) | 电力厂站的网络安全监测方法和装置、计算机设备 | |
Lara et al. | Smart home anomaly-based IDS: Architecture proposal and case study | |
JP6470201B2 (ja) | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 | |
CN114172702A (zh) | 一种电网工控系统网络安全监测方法及系统 | |
Cole et al. | Distance Measures for Competitive Learning-based Anomaly Detection in Industrial Control Systems. | |
Lara Romero et al. | Smart home anomaly-based IDS: architecture proposal and case study | |
Han et al. | Design of Multi-Protocol Industrial Ethernet Security Monitor | |
KR20160074695A (ko) | 사물인터넷 환경에서 비정상적 정보 유출 행위 탐지를 위한 비정형 정보 및 디지털 패킷 유출 분석 시스템 | |
CN116318934A (zh) | 基于物联网设备行为建模的安全预警方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190125 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20191021 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191112 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191226 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200212 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200408 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200428 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200528 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6711710 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |