JP6711710B2 - 監視装置、監視方法および監視プログラム - Google Patents

監視装置、監視方法および監視プログラム Download PDF

Info

Publication number
JP6711710B2
JP6711710B2 JP2016135304A JP2016135304A JP6711710B2 JP 6711710 B2 JP6711710 B2 JP 6711710B2 JP 2016135304 A JP2016135304 A JP 2016135304A JP 2016135304 A JP2016135304 A JP 2016135304A JP 6711710 B2 JP6711710 B2 JP 6711710B2
Authority
JP
Japan
Prior art keywords
network
communication
communication log
packet
log
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016135304A
Other languages
English (en)
Other versions
JP2018007179A (ja
Inventor
将史 新夕
将史 新夕
近藤 力
力 近藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Communications Corp
Original Assignee
NTT Communications Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Communications Corp filed Critical NTT Communications Corp
Priority to JP2016135304A priority Critical patent/JP6711710B2/ja
Publication of JP2018007179A publication Critical patent/JP2018007179A/ja
Application granted granted Critical
Publication of JP6711710B2 publication Critical patent/JP6711710B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、監視装置、監視方法および監視プログラムに関する。
近年、IT(Information Technology)ネットワークとOT(Operational Technology)ネットワークとを融合させ、両ネットワーク間のデータを相互に活用することが考えられている。ここで、OTネットワークの対象となる産業は、例えば、センサネットワーク等の定期的にセンシング情報をサーバにアップロードするようなケースを想定した工場内ネットワークや製造管理、環境センシング等といった産業である。
ITネットワークおよびOTネットワークには、それぞれ異なる脅威があり、その異なる脅威に対して、それぞれのネットワークに向けてセキュリティアプライアンスが存在し、セキュリティソリューションが別々に存在する。
例えば、ITネットワークの場合では、FW(FireWall)、IPS(Intrusion Prevention System)、WAF(Web Application Firewall)等のセキュリティアプライアンスによって、攻撃を検知して防御する手法が取られている。さらに、SIEM(Security Information and Event Management)エンジンのようにセキュリティアプライアンスからの膨大なログを分析することによってセキュリティアプライアンスでは検知できなかった潜在脅威を検知する手法も知られている。
また、例えば、OTネットワークの場合では、各種産業プロトコル向けのセキュリティアプライアンス製品を導入して監視することが知られている。また、OTネットワークにおける各デバイスのセンサ情報等を監視するマネジメントサーバが死活監視機能を有し、該死活監視機能によりavailabilityの可視化を補助することも考えられる。
"融合するITとOT"、[online]、エヌ・ティ・ティ・コムウェア株式会社、[平成28年6月30日検索]、インターネット<https://www.nttcom.co.jp/comware_plus/special/special02_1.html>
上記した従来の技術では、ITネットワークおよびOTネットワークそれぞれの監視を容易に行うことができないという課題があった。つまり、従来の技術では、ITネットワークにはITネットワーク用のセキュリティアプライアンスを設け、OTネットワークにはOTネットワーク用のセキュリティアプライアンスを設けていた。このように、それぞれに専用のセキュリティ対策設備が必要であったため、両ネットワークの監視を容易に行うことが難しいという問題があった。
上述した課題を解決し、目的を達成するために、本発明の監視装置は、ITネットワークおよびOTネットワークの両方から各ネットワークで送受信されたパケットの通信ログを取得する取得手段と、前記取得手段によって取得された通信ログからパケットの宛先数、パケットサイズおよびダウンロードのデータサイズとアップロードのデータサイズとの比率のうち、いずれか一つまたは複数に基づいて、前記通信ログがITネットワークの通信ログであるのかOTネットワークの通信ログであるのかを判定する判定手段と、を備えることを特徴とする。
また、本発明の監視方法は、監視装置によって実行される監視方法であって、ITネットワークおよびOTネットワークの両方から各ネットワークで送受信されたパケットの通信ログを取得する取得工程と、前記取得工程によって取得された通信ログからパケットの宛先数、パケットサイズおよびダウンロードのデータサイズとアップロードのデータサイズとの比率のうち、いずれか一つまたは複数に基づいて、前記通信ログがITネットワークの通信ログであるのかOTネットワークの通信ログであるのかを判定する判定工程と、を含んだことを特徴とする。
また、本発明の監視プログラムは、ITネットワークおよびOTネットワークの両方から各ネットワークで送受信されたパケットの通信ログを取得する取得ステップと、前記取得ステップによって取得された通信ログからパケットの宛先数、パケットサイズおよびダウンロードのデータサイズとアップロードのデータサイズとの比率のうち、いずれか一つまたは複数に基づいて、前記通信ログがITネットワークの通信ログであるのかOTネットワークの通信ログであるのかを判定する判定ステップと、をコンピュータに実行させることを特徴とする。
本発明によれば、ITネットワークおよびOTネットワークそれぞれの監視を容易に行うことができるという効果を奏する。
図1は、第1の実施形態に係る通信システムの全体構成を示す概略図である。 図2は、第1の実施形態に係る監視装置の構成例を示すブロック図である。 図3は、スコア情報記憶部が記憶するテーブルの一例を示す図である。 図4は、スコア情報記憶部が記憶するテーブルの一例を示す図である。 図5は、スコア情報記憶部が記憶するテーブルの一例を示す図である。 図6は、スコア情報記憶部が記憶するテーブルの一例を示す図である。 図7は、学習データ記憶部が記憶する学習データの一例を示す図である。 図8は、OTネットワークにおける障害部位を検出する処理を説明する図である。 図9は、第1の実施形態に係る監視装置の処理の概要を説明する図である。 図10は、第1の実施形態に係る監視装置における学習処理の流れの一例を示すフローチャートである。 図11は、第1の実施形態に係る監視装置における監視処理の流れの一例を示すフローチャートである。 図12は、監視プログラムを実行するコンピュータを示す図である。
以下に、本願に係る監視装置、監視方法および監視プログラムの実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態により本願に係る監視装置、監視方法および監視プログラムが限定されるものではない。
(第1の実施形態)
図1は、第1の実施形態に係る通信システムの構成の一例を示す図である。第1の実施形態に係る通信システムは、監視装置10、ファイアウォール20、複数のゲートウェイ30A〜30C、ITネットワーク40および複数のOTネットワーク50A〜50Cを有する。また、各ゲートウェイ30A〜30Cは、IP(Internet Protocol)ネットワーク60を介してファイアウォール20と接続されている。また、監視装置10は、インターネット70を介してファイアウォール20と接続されている。なお、図1に示す構成は一例にすぎず、具体的な構成や各装置の数は特に限定されない。また、複数のゲートウェイ30A〜30C、複数のOTネットワーク50A〜50Cについて、特に区別なく説明する場合には、適宜ゲートウェイ30、OTネットワーク50と記載する。
このような第1の実施形態に係る通信システムは、例えば、企業システムを中心に形成されてきたITネットワーク40と、産業分野におけるデバイスのモニタリングや運用を制御するOTネットワーク50とが連携するシステムである。例えば、かかるITネットワーク40においては、会社における従業員等が使用するPC(Personal Computer)等の端末が設けられ、ITネットワーク40内の端末同士の通信やインターネット70上のサーバとの通信が行われる。また、OTネットワーク50においては、例えば、ビルや工場において設けられたビルの設備や工場の機械がIPネットワーク60上のサーバ(図示略)で管理されるとともに、設備や機械に設置されたセンサのセンサ情報をインターネット70上のサーバに通知することで、社会インフラシステムの効率化やファクトリーオートメーションを実現している。
ITネットワーク40は、例えば、IPによってデータの送受信を行う通信ネットワークであって、IPS、WAF、Sandbox等のセキュリティアプライアンスが設けられている。また、ITネットワーク40では、例えば、ITネットワーク40内の各端末がWebサイトにアクセスする等の際に、ファイアウォール20を介してインターネット70のサーバ等との間でパケットを送受信する。
OTネットワーク50A〜50Cは、例えば、IoT(Internet of Things)デバイスが接続された、IoTデバイスのためのネットワークである。ここで、OTネットワーク50の対象となる産業は、例えば、センサネットワーク等の定期的にセンシング情報をサーバにアップロードするようなケースを想定した工場内ネットワークや製造物管理、環境センシング等といった産業である。OTネットワーク50A〜50Cは、それぞれゲートウェイ30A〜30Cを有し、IPネットワーク60上のサーバ(図示略)で管理されている。また、OTネットワーク50では、例えば、OTネットワーク50内のセンサから収集したセンサ情報等を通知する等の際に、ファイアウォール20を介してインターネット70のサーバ等との間でパケットを送受信する。
OTネットワーク50Aは、例えば、ビルおよび工場のオートメーション、ホームコントロール、電気やガスのモニタリング等の設備制御のオートメーションシステムとして、LonWorksが適用されているネットワークである。また、OTネットワーク50Bは、例えば、ビルディングオートメーションと制御ネットワークのための通信プロトコルとして、Bacnet(Building Automation and Control Networking protocol)が適用されているネットワークである。また、OTネットワーク50Cは、例えば、電力会社や水道施設などの工業分野でよく利用されるSCADA(Supervisory Control And Data Acquisition)の通信プロトコルとして、DNP(Distributed Network Protocol)が適用されているネットワークである。
ファイアウォール20は、ITネットワーク40およびOTネットワーク50に接続されており、ITネットワーク40およびOTネットワーク50それぞれにおいて送受信されたパケットの通信ログを監視装置10に送信する。なお、図1の例では、ITネットワーク40およびOTネットワーク50が同一のファイアウォール20に接続されているが、これに限定されるものではなく、ITネットワーク40およびOTネットワーク50がそれぞれ異なるファイアウォール20に接続されていてもよい。ゲートウェイ30A〜30Cは、各OTネットワーク50A〜50Cにおいて、IPネットワーク60との境界に配置される中継装置である。
監視装置10は、例えば、SIEMエンジンが適用されたサーバ装置である。監視装置10は、例えば、SIEMエンジンにより通信ログを分析して攻撃の痕跡を発見する等のSIEMサービスを提供する。
また、監視装置10は、ITネットワーク40およびOTネットワーク50の両方から各ネットワークで送受信されたパケットの通信ログをファイアウォール20から取得する。そして、監視装置10は、取得された通信ログからパケットの宛先数、パケットのデータサイズであるパケットサイズおよびダウンロードのデータサイズとアップロードのデータサイズとの比率のうち、いずれか一つまたは複数に基づいて、通信ログがITネットワーク40の通信ログであるのかOTネットワーク50の通信ログであるのかを判定する。
また、監視装置10は、OTネットワーク50の通信ログのうち、送信元、送信先および通信プロトコルが同一のパケットごとに、パケットサイズとパケットの通信頻度とパケット間の通信間隔とを学習し、学習データを生成する。そして、監視装置10は、OTネットワーク50における異常の有無を検知するための検知対象の通信ログを取得し、該検知対象の通信ログにおけるパケットと、該パケットと送信元、送信先および通信プロトコルが同一の学習データとを比較し、該比較結果に応じて、検知対象の通信ログの異常を検知する。
また、監視装置10は、OTネットワーク50における各デバイスの経路情報を受信する。そして、監視装置10は、経路情報に基づいて、OTネットワーク50におけるデバイス間の接続関係を示すトポロジ情報を定期的に生成し、定期的に生成されたトポロジ情報から該トポロジ情報の変動を検出する。そして、監視装置10は、監視されたトポロジの変動に基づいて、OTネットワーク50において障害が発生したデバイスを検出する。
なお、OTネットワーク50のセキュリティについては、AIC(availability、integrity、confidentiality)の順でセキュリティ脅威を重視しており、機器正常性、人為ミスによる障害、成りすましによる内部犯行等の脅威を含むAICの順序での脅威に注視することが一般的である。また、ITネットワーク40のセキュリティについては、CIA(confidentiality、integrity、availability)の順でセキュリティ脅威を重視しており、いわゆる標的型攻撃等に対する一般的なサイバーセキュリティを想定したSIEM分析等によりセキュリティの対策が一般的に行われている。
[監視装置の構成]
次に、図2を用いて、図1に示した監視装置10の構成を説明する。図2は、第1の実施形態に係る監視装置の構成例を示すブロック図である。図2に示すように、この監視装置10は、通信処理部11、入力部12、出力部13、制御部14および記憶部15を有する。
また、監視装置10は、ファイアウォール20における通信ログがITネットワーク40の通信ログであるかOTネットワーク50の通信ログであるかを判別することができる。また、監視装置10は、通常利用時におけるOTネットワーク50の通信ログを学習して学習データを生成し、OTネットワーク50の通信ログと学習データを用いて、OTネットワークにおける異常検知を行うことができる。さらに、監視装置10は、OTネットワーク50における経路情報等からトポロジ情報を生成し、該トポロジ情報の変動から障害部位を検出することができる。以下に監視装置10が有する各部の処理を説明する。
通信処理部11は、接続されるファイアウォール20やゲートウェイ30との間でやり取りする各種情報に関する通信を制御する。例えば、通信処理部11は、ファイアウォール20からITネットワーク40およびOTネットワーク50の両方から各ネットワークで送受信されたパケットの通信ログを受信する。また、例えば、通信処理部11は、ゲートウェイ30からOTネットワーク50におけるデバイス間の接続関係を示すトポロジ情報を受信する。
入力部12は、キーボードやマウスなどの入力デバイスであり、管理者から各種情報の入力操作を受付ける。出力部13は、ディスプレイなどの出力デバイスであり、各種情報を出力する。
また、記憶部15は、制御部14による各種処理に必要なデータおよびプログラムを格納するが、特に本発明に密接に関連するものとしては、スコア情報記憶部15aと、学習データ記憶部15bと、OT/ITリスト記憶部15cとを有する。例えば、記憶部15は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置などである。
スコア情報記憶部15aは、後述する判定部14bによってOTネットワーク50の通信ログの特徴の度合いを示すスコアが計算される際に参照されるテーブルを記憶する。ここで、以下に説明する各テーブルは、通信ログがOTネットワーク50の通信ログであるかITネットワーク40の通信ログであるかを判別するためのものである。ここで、ITネットワーク40の通信ログとOTネットワーク50の通信ログとでは、概ね以下のように異なる特徴を有しているため、本発明者はITネットワーク40の通信ログとOTネットワーク50の通信ログとを区別できるという知見を得た。例えば、ITネットワーク40において送受信されるパケットは、データサイズは様々であるが、数キロバイトから数メガバイトの範囲が多く、一方OTネットワーク50において送受信されるパケットは数バイトであることが多い。
また、ITネットワーク40において送受信されるパケットは、ダウンロードパケットのデータサイズがアップロードパケットのデータサイズよりも大きく、一方OTネットワーク50において送受信されるパケットは、ダウンロードパケットのデータサイズがアップロードパケットのデータサイズよりも小さいことが多い。これは、OTネットワーク50におけるダウンロードパケットはサーバからの生死監視や設定データが多いため、データサイズが極めて小さくなる一方、アップロードパケットはサーバへのセンサデータが多いためであり、センサデータ(監視カメラデータ等の例外を除く)はITネットワーク40におけるダウンロードパケット(例えば、Webコンテンツ等)よりは一般的に小さいが、生死監視や設定データよりは大きいためである。また、ITネットワーク40において送受信されるパケットは、様々な宛先に送信されるが、一方、OTネットワーク50において送受信されるパケットは、特定の宛先に送信されることが多い。
これらの特徴が表れるのは、OTネットワーク50がインターネット70にパケットを送信する際は、特定のサーバにセンサ情報を定期的に送信する場面が多いため、ITネットワーク40の端末がインターネット70上のサーバ等にアクセスする場合と比較して、データサイズが小さく、サーバへのアップロードが多く、宛先も特定のものに限られるからである。
このような特徴をもとに、スコア情報記憶部15aに記憶されたテーブルはスコアが設定されている。以下では、図3〜図6の例を用いて、スコア情報記憶部15aが記憶するテーブルの一例を用いて説明する。図3〜図6は、スコア情報記憶部が記憶するテーブルの一例を示す図である。
例えば、スコア情報記憶部15aは、図3および図4に例示するように、通信プロトコルを示す「プロトコル」と、パケットのデータサイズを示す「サイズ」と、加算するスコアを示す「スコア」とが対応付けられたテーブルを記憶する。ここで、「プロトコル」および「サイズ」が条件であり、条件に該当する場合には、該条件に対応するスコアが加算されることを意味する。
図3の例を挙げて具体的に説明すると、例えば、通信プロトコルが「UDP」であり、パケットのデータサイズが「50−200」バイトの範囲内である場合には、スコアとして「90」が加算される。また、図4の例を挙げて説明すると、例えば、通信プロトコルが「TCP」であり、パケットのデータサイズが「60−110」バイトの範囲内である場合には、スコアとして「90」が加算される。
また、例えば、スコア情報記憶部15aは、図5に例示するように、ダウンロードパケットのデータサイズをアップロードパケットのデータサイズで除算した値を示す「サイズ比率」と、加算するスコアを示す「スコア」とが対応付けられたテーブルを記憶する。ここで、「サイズ比率」が条件であり、条件に該当する場合には、該条件に対応するスコアが加算されることを意味する。
図5の例を挙げて説明すると、例えば、ダウンロードパケットのデータサイズの10倍のアップロードパケットのデータサイズのトラヒックが流れている場合には、ダウンロードパケットのデータサイズをアップロードパケットのデータサイズで除算した値が「0.1」となる。この場合には、サイズ比率「0.1」に対応するスコア「90」が加算される。
また、例えば、スコア情報記憶部15aは、図6に例示するように、送信先アドレス数を送信元アドレス数で除算した値を示す「宛先数」と、加算するスコアを示す「スコア」とが対応付けられたテーブルを記憶する。ここで、「宛先数」が条件であり、条件に該当する場合には、該条件に対応するスコアが加算されることを意味する。
図6の例を挙げて説明すると、例えば、宛先が常に1か所である場合には、送信先アドレス数を送信元アドレス数で除算した値が「1」となる。この場合には、宛先数「1」に対応するスコア「95」が加算される。
学習データ記憶部15bは、後述する学習部14cによって生成された学習データを記憶する。学習データは、通常利用時における一定期間のOTネットワーク50の通信ログのうち、送信元、送信先および通信プロトコルが同一のパケットごとに、パケットサイズとパケットの通信頻度とパケット間の通信間隔とを学習したデータである。以下では、図7の例を用いて、学習データ記憶部15bが記憶する学習データについて説明する。図7は、学習データ記憶部が記憶する学習データの一例を示す図である。
図7に例示するように、学習データ記憶部15bは、パケットの送信元である「送信元」と、パケットの送信先である「送信先」と、通信プロトコルを示す「プロトコル」と、各パケットのデータサイズの範囲を示す「パケットサイズ」と、単位時間(例えば、30分等)当たりのパケット数を示す「頻度」と、パケット間の通信間隔を示す「インターバル」とを対応付けて記憶する。また、「頻度」と「インターバル」には、通常の通信の範囲内として許容される設定値としてマージンも記憶されている。
図7の例を挙げて説明すると、例えば、学習データ記憶部15bは、送信元が「IPGW1」、送信先が「Server1」、通信プロトコルが「TCP」であるパケットについては、学習データとして、パケットのデータサイズが「430−500」バイトの範囲内であって、通信頻度が「4710481461684149719」であって、通信頻度のマージンが「±3232」であって、インターバルが「30」秒であって、インターバルのマージンが「±1」である旨を記憶する。
これは、送信元が「IPGW1」、送信先が「Server1」、通信プロトコルが「TCP」であるパケットについて、データサイズが「430−500」の範囲内であって、通信頻度が「4710481461684149719±3232」の範囲内であって、インターバルが「30±1」の範囲内で通信が行われている場合には、正常な通信が行われていると判定されることを意味する。
OT/ITリスト記憶部15cは、OTネットワーク50におけるデバイスのアドレスと、ITネットワーク40におけるデバイスのアドレスとが列挙されたリストを記憶する。OT/ITリスト記憶部15cは、後述する判定部14bによる通信ログの判定処理の結果、OTネットワーク50またはITネットワーク40のいずれに設置されたデバイスであるか判明したデバイスのアドレスを記憶する。
制御部14は、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有し、これらによって種々の処理を実行するが、特に本発明に密接に関連するものとしては、取得部14a、判定部14b、学習部14c、検知部14d、受信部14e、生成部14f、検出部14gおよびアラート発出部14hを有する。ここで、制御部14は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路やASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などの集積回路である。
取得部14aは、ITネットワーク40およびOTネットワーク50の両方から各ネットワークで送受信されたパケットの通信ログを取得する。例えば、取得部14aは、ITネットワーク40およびOTネットワーク50に接続されたファイアウォール20から通信ログを取得する。なお、取得部14aは、通信ログの取得タイミングとして、所定の時間間隔で通信ログを取得してもよいし、所定のイベント等をトリガとして取得してもよいし、ユーザの指示に従って取得するようにしてもよい。
また、取得部14aに取得される通信ログとしては、後述する学習部14cにより学習データを生成されるために取得される異常が発生していない通常時の通信ログと、後述する検知部14dや検出部14gにより通信ログの異常の検知やOTネットワーク50における障害デバイスの検出のために取得される異常検知の対象の通信ログとがある。
判定部14bは、取得部14aによって取得された通信ログからパケットの宛先数、パケットサイズおよびダウンロードのデータサイズとアップロードのデータサイズとの比率のうち、いずれか一つまたは複数に基づいて、通信ログがITネットワーク40の通信ログであるのかOTネットワーク50の通信ログであるのかを判定する。
例えば、判定部14bは、送信元が同一の通信ログごとに、パケットの宛先数、パケットサイズおよびダウンロードのデータサイズとアップロードのデータサイズとの比率をそれぞれ算出する。なお、以下では、パケットの宛先数、パケットサイズおよびダウンロードのデータサイズとアップロードのデータサイズとの比率の3つのパラメータ全てを用いて、通信ログであるのかOTネットワーク50の通信ログであるのかを判定する処理を説明するが、3つのパラメータのうち、いずれか1つもしくは2つを用いて、通信ログであるのかOTネットワーク50の通信ログであるのかを判定する処理を行ってもよい。
判定部14bは、算出処理の一例として、例えば、送信先アドレス数を送信元アドレス数で除算し、除算した値をパケットの宛先数とする。また、判定部14bは、例えば、パケットのデータサイズの平均値を算出し、算出した平均値をパケットサイズとする。また、判定部14bは、例えば、ダウンロードパケットのデータサイズをアップロードパケットのデータサイズで除算し、除算した値をダウンロードのデータサイズとアップロードのデータサイズとの比率とする。
そして、判定部14bは、スコア情報記憶部15aに記憶されたテーブルを参照し、同一送信元の通信ログごとに、OTネットワーク50の通信ログの特徴の度合いを示すスコアを計算する。続いて、判定部14bは、計算したスコアが所定の閾値を超えている場合には、OTネットワーク50の通信ログであると判定し、計算したスコアが所定の閾値以下である場合には、ITネットワーク40の通信ログであると判定する。
具体的な例を挙げて説明すると、例えば、判定部14bは、パケットの宛先数、パケットサイズおよびダウンロードのデータサイズとアップロードのデータサイズとの比率をそれぞれ算出した結果、通信プロトコルが「TCP」である通信ログについて、パケットサイズが「70」、ダウンロードのデータサイズとアップロードのデータサイズとの比率が「0.1」、パケットの宛先数が「1」であった場合に、図3〜図6に例示したテーブルを参照する。まず、通信プロトコルが「TCP」である場合には、図4のテーブルが参照され、パケットサイズが「70」である場合には、サイズ「60−110」に対応するスコア「90」が加算される。
また、判定部14bは、図5のテーブルを参照し、ダウンロードのデータサイズとアップロードのデータサイズとの比率が「0.1」である場合には、サイズ比率「0.1times」に対応するスコア「90」がさらに加算される。また、判定部14bは、図6のテーブルを参照し、パケットの宛先数が「1」である場合には、宛先数「1」に対応するスコア「95」がさらに加算される。
このようにスコアを加算する処理として、判定部14bは、各スコア「90」、「90」および「95」の合計として、スコア「275」を計算する。そして、判定部14bは、スコア「275」が予め設定された閾値「250」を超えているか否かを判定する。この場合には、判定部14bは、計算したスコア「275」が閾値「250」を超えているので、OTネットワーク50の通信ログであると判定する。
このように、判定部14bは、通信ログがITネットワーク40の通信ログであるかOTネットワーク50の通信ログであるか判定した後、該通信ログの送信元アドレスを判定結果とともにOT/ITリスト記憶部15cに格納する。そして、判定部14bは、OT/ITリスト記憶部15cに格納された送信元アドレスの通信ログを今後取得した場合には、該通信ログについて、上記の判定処理を省略して、OT/ITリスト記憶部15cに記憶された情報を参照して、通信ログがITネットワーク40の通信ログであるかOTネットワーク50の通信ログであるか判定するようにしてもよい。
判定部14bは、判定処理を行った結果、ITネットワーク40であると判定したログについては、既存のSIEMエンジン等を介して、IPネットワークを前提としたサイバー攻撃の検知ロジックにかける。
学習部14cは、OTネットワーク50の通信ログのうち、送信元、送信先および通信プロトコルが同一のパケットごとに、パケットサイズとパケットの通信頻度とパケット間の通信間隔(インターバル)とを学習し、学習データを生成する。例えば、学習部14cは、判定部14bによってOTネットワーク50の通信ログであると判定された一定期間の通信ログを、送信元、送信先および通信プロトコルが同一の通信ログごとにそれぞれ分類する。
そして、学習部14cは、送信元、送信先および通信プロトコルが同一の通信ログごとに、パケットサイズとパケットの通信頻度とパケット間の通信間隔の平均値と、統計的に取りうるマージンを学習して学習データを生成し、学習データ記憶部15bに格納する。なお、学習部14cは、学習アルゴリズムとして、例えば、SVM(Support Vector Machine)やその他の機械学習法を用いて、学習データを生成することができる。
検知部14dは、検知対象の通信ログを取得し、該検知対象の通信ログにおけるパケットと、該パケットと送信元、送信先および通信プロトコルが同一の学習データとを比較し、該比較結果に応じて、検知対象の通信ログの異常を検知する。例えば、検知部14dは、取得部14aから検知対象の通信ログを取得し、該通信ログを、送信元、送信先および通信プロトコルが同一の通信ログごとにそれぞれ分類し、各通信ログのデータサイズ、通信頻度およびインターバルを解析する。
そして、検知部14dは、検知対象の通信ログのデータサイズ、通信頻度およびインターバルと、送信元、送信先および通信プロトコルが同一の学習データのデータサイズ、通信頻度およびインターバルとをそれぞれ比較し、学習データとの差分がマージンの範囲外である場合には、該通信ログの異常を検知する。そして、検知部14dは、通信ログの異常を検知した場合には、アラート発出部14hに通信ログの異常を通知する。
具体的な例を挙げて説明すると、例えば、検知部14dは、送信元が「IPGW1」、送信先が「Server1」、通信プロトコルが「TCP」である検知対象の通信ログについて、各パケットのデータサイズが「400−420」バイト、単位時間あたりの通信頻度が「4710481461684100000」、インターバルが「40」秒であると解析する。そして、検知部14dは、送信先が「Server1」、通信プロトコルが「TCP」である学習データを学習データ記憶部15bから取得し、図7に例示するように、データサイズが「430−500」の範囲内であって、通信頻度が「4710481461684149719±3232」の範囲内であって、インターバルが「30±1」の範囲内であるか比較する。
この場合、検知対象の通信ログのデータサイズが「400−420」バイトであるため、学習データの「430−500」よりもデータサイズが小さく、検知対象の通信ログの通信頻度が「4710481461684100000」であるため、学習データの通信頻度「4710481461684149719±3232」の範囲よりも少なく、検知対象の通信ログのインターバルが「40」秒であるため、学習データのインターバルが「30±1」の範囲よりも長い。
このように、検知部14dは、例えば、学習データよりもデータサイズが小さく、通信頻度が少なく、且つ、通信間隔が長いと判定した場合には、OTネットワーク50において障害部位が存在する可能性があるものと判定して、通信ログに異常を検知する。また、検知部14dは、例えば、学習データよりもデータサイズが大きく、通信頻度が多く、且つ、インターバルが短いと判定した場合には、OTネットワーク50において成りすましやマルウェア等の感染後の活動の可能性があるものと判定して、通信ログの異常を検知する。
例えば、OTネットワーク50において産業用プロトコルや特殊プロトコル、独自プロトコル等を利用したPAN(Personal Area Network)があった場合でも、そのPANの配下で発生している脅威のリスクを監視装置10が検知することができる。なお、通信ログの以上の判定基準は、適宜変更することができるものであって、例えば、予め定義してスコアリングしてもよいし、一般的な機械学習ロジックや統計手法を用いて通常と異なると判断させてもよい。
受信部14eは、OTネットワーク50における各デバイスの経路情報を受信する。なお、受信部14eは、経路情報の受信タイミングとして、所定の時間間隔で通信ログを取得してもよいし、所定のイベント等をトリガとして取得してもよいし、ユーザの指示に従って取得するようにしてもよい。
例えば、受信部14eは、検知部14dによりOTネットワーク50の通信ログに異常が検知され、OTネットワーク50において障害部位を特定する旨の指示を管理者の操作により受け付けた場合には、指定されたOTネットワーク50に接続されたゲートウェイ30から各デバイスの経路情報として、「宛先情報」と「隣接装置」が規定された経路情報と、隣接ノード情報として、デバイス間の受信信号強度を示すRSSI(Received Signal Strength Indicator)を定期的に受信する。
例えば、OTネットワーク50がZigBee(登録商標)の通信規格を適用して、デバイス間の近距離無線通信を行っている場合には、受信部14eは、経路情報および隣接ノード情報をZigBeeコーディネータから定期的に受信する。
生成部14fは、経路情報に基づいて、OTネットワーク50におけるデバイス間の接続関係を示すトポロジ情報を定期的に生成する。例えば、生成部14fは、経路情報に規定された「宛先情報」と「隣接装置」から、ネットワークトポロジを生成する。なお、後述する図8ではOTネットワーク50で典型的に見られるツリー状のトポロジを例示しているが、ツリー状のトポロジに限られるものではない。
検出部14gは、生成部14fによって定期的に生成されたトポロジ情報から該トポロジ情報の変動を監視し、トポロジの変動に基づいて、OTネットワーク50において障害が発生したデバイスを検出する。例えば、検出部14gは、生成部14fによって定期的に生成されたトポロジ情報を比較することで、該トポロジ情報の変動を監視し、OTネットワーク50から離脱したデバイスや切り替わり頻度が高い不安定状態のデバイスが存在する場合には、該デバイスをOTネットワーク50において障害が発生したデバイスとして検出する。
また、検出部14gは、トポロジ情報の変動に基づいて、OTネットワーク50において障害が発生したデバイスを検出するとともに、隣接ノード情報からデバイス間の電波強度を監視し、デバイス間の電波強度の品質の悪いデバイスが存在する場合には、該デバイスをOTネットワーク50において障害が発生したデバイスとして検出する。
また、検出部14gは、異常が疑われる被疑部位の妥当性を評価するために、パケットロス情報と照合するようにしてもよい。ここで、図8の例を用いて、OTネットワーク50における障害部位を検出する処理を説明する。図8は、OTネットワークにおける障害部位を検出する処理を説明する図である。
図8に例示するように、例えば、検出部14gは、前述の検知部14dの検知対象の通信ログにおけるパケットのデータサイズおよび通信頻度と、学習データにおけるパケットのデータサイズおよび通信頻度とを比較することで、通常時の通信時に比べてパケットをどのくらいロスしているかを特定することができる。
例えば、ゲートウェイ30の配下にデバイスが150個存在し、通常時の通信パケット数と比べて10%のパケットがロスしている場合には、デバイス15個分のトラヒックが欠如していると推定することができる。また、例えば、検出部14gは、トポロジ情報および隣接ノード情報の監視により7デバイスがトポロジの変動があり電波強度も弱いことを検出し、8デバイスがあるタイミングから接続されなくなったことを検出する。
このような場合には、検出部14gは、パケットロス情報により異常が疑われるデバイス数「15」と、トポロジ情報および隣接ノード情報の監視により異常が疑われるデバイス数「15」とを照会し、異常が疑われるデバイスの数が同じであることを検出する。そして、検出部14gは、障害があるデバイスとして15デバイスの特定まで行い、特定した障害がある15デバイスの識別情報等を後述するアラート発出部14hに通知する。なお、障害がある15デバイスを特定する基準の閾値は予め設定しておいてもよいし、数値の合致率をスコアリングする等して、被疑15デバイスの障害の可能性を数値化し、該数値をアラート発出部14hに通知してアラートを発出させてもよい。
また、検出部14gは、障害の可能性があるデバイスのうち、多くの端末が接続されている不安定な上位デバイスを特定するようにしてもよい。具体的には、検出部14gは、OTネットワーク50において障害が発生したデバイスを定期的に検出し、障害が発生した各デバイスについて、所定期間において障害発生した際の他のデバイスとの接続数を計数し、所定期間における該接続数の合計が所定の閾値を超えたデバイスを、接続状態が不安定な状態にある上位デバイスとして特定する。このように接続状態が不安定な状態にある上位デバイスとして、例えば、1か月等の一定期間のデータから、多くの端末が接続されている不安定状態にある上位デバイスを特定し、アラート発出部14hにアラートを発出させることで、当該箇所を重点的に調査・改善させる等のコンサルティングとしてのアクションにつなげることも可能である。
その場合、一定期間におけるデバイス切り替え回数と下位ノード数を記録し、例えば、ネットワーク切り替え毎の下位ノード数を足し合わせてある閾値以上の値になったノードを特定して当該ノードの置局設計や収容設計の見直しを促すといったことも可能となる。例えば、月に3回、下位ノードがそれぞれ10個、12個、13個つながった状態で切り替わったので、合計を計算し(「10+12+13=35」)、合計「35」が閾値「30」以上にになったノードを接続状態が不安定な状態にある上位デバイスであると特定して当該ノードの置局設計や収容設計の見直しを促すと言ったことも可能となる。
また、検出部14gは、幾度も発生障害が発生するポイントを特定するようにしてもよい。具体的には、検出部14gは、OTネットワーク50において障害が発生したデバイスを定期的に検出し、障害が発生した各デバイスについて、所定期間内において各デバイスの障害が発生した回数をカウントし、該回数が所定の閾値を超えたデバイスを特定する。このように、幾度も発生障害が発生するポイントを特定することで、中長期的にネットワークデザインの修正をレコメンデーションする等の用途に活用することも可能である。例えば、一定期間内にネットワーク離脱と判定するときの回数をカウントしておき、一定回数(例えば、月3回)を超えたノードに対して、当該ノードの置局設計や収容設計の見直しを促すと言ったことも可能である。
アラート発出部14hは、検知部14dによって通信ログの異常が検知された場合に、アラートを発出する。また、アラート発出部14hは、検出部14gにより障害があると特定されたデバイスについて、アラートを発出する。また、アラート発出部14hは、障害の可能性があるデバイスのうち、多くの端末が接続されている不安定な上位デバイスについて、アラートを発出するとともに、当該上位デバイスの調査や改善させるアクションを促すアラートを発出する。なお、アラート発出部14hは、アラートを発出する方法として、出力部13にアラート画面を表示するようにしてよいし、外部の装置にアラートに関する情報を通知するようにしてもよい。
ここで、図9を用いて、第1の実施形態に係る監視装置の処理の概要を説明する。図9に示すように、監視装置10の取得部14aは、ITネットワーク40およびOTネットワーク50の両方から各ネットワークで送受信されたパケットの通信ログをファイアウォール20から取得する。
そして、判定部14bは、取得した通信ログの送信元アドレス(Srcアドレス)がOT/ITリスト記憶部15cに登録済みであるか判定し、登録済みである場合には、該送信元の通信ログについては、OT/ITリスト記憶部15cに記憶されたリストを基に、ITネットワーク40の通信ログであるかOTネットワーク50の通信ログであるか判定する。また、判定部14bは、送信元アドレス(Srcアドレス)がOT/ITリスト記憶部15cに登録済みでない通信ログについては、スコア情報記憶部15aに記憶されたテーブルを参照し、同一送信元の通信ログごとに、OTネットワーク50の通信ログの特徴の度合いを示すスコアを計算する。
そして、判定部14bは、判定処理を行った結果、ITネットワーク40であると判定したログについては、既存のSIEMエンジン等を介して、IPネットワークを前提としたサイバー攻撃の検知ロジックにかける。なお、SIEMエンジンによりサイバー攻撃が検知された場合には、アラート発出部14hに通知し、アラート発出部14hにアラートを発出させる。また、判定部14bは、OTネットワーク50であると判定したログについては検知部14dに通知する。
検知部14dは、検知対象の通信ログを取得し、該検知対象の通信ログにおけるパケットと、該パケットと送信元、送信先および通信プロトコルが同一の学習データとを比較し、該比較結果に応じて、検知対象の通信ログの異常を検知する。そして、検知部14dは、通信ログの異常を検知した場合には、アラート発出部14hに通信ログの異常を通知する。そして、アラート発出部14hは、通信ログの異常について、アラートを発出する。
また、受信部14eは、OTネットワーク50において障害部位を特定する旨の指示とOTネットワーク50の指定を管理者の操作により受け付けた場合には、指定されたOTネットワーク50に接続されたゲートウェイ30から各デバイスの経路情報として、「宛先情報」と「隣接装置」が規定された経路情報と、隣接ノード情報として、デバイス間の受信信号強度を示すRSSI(Received Signal Strength Indicator)を定期的に受信する。
そして、生成部14fは、経路情報に基づいて、OTネットワーク50におけるデバイス間の接続関係を示すトポロジ情報を定期的に生成する。例えば、生成部14fは、経路情報に規定された「宛先情報」と「隣接装置」から、ツリー状のトポロジを生成する。
続いて、検出部14gは、生成部14fによって定期的に生成されたトポロジ情報から該トポロジ情報の変動を監視し、トポロジの変動に基づいて、OTネットワーク50において障害が発生したデバイスを検出する。また、検出部14gは、検知部14dによって検知対象の通信ログにおけるパケットのデータサイズおよび通信頻度と学習データにおけるパケットのデータサイズおよび通信頻度とを比較することで、通常時の通信時に比べてパケットをどのくらいロスしているかを特定する。そして、検出部14gは、障害があるデバイスの数の特定まで行い、特定した障害があるデバイスの識別情報等をアラート発出部14hに通知する。アラート発出部14hは、検出部14gにより障害があると特定されたデバイスについて、アラートを発出する。
[監視装置の処理手順]
次に、図10および図11を用いて、第1の実施形態に係る監視装置10による処理手順の例を説明する。図10は、第1の実施形態に係る監視装置における学習処理の流れの一例を示すフローチャートである。図11は、第1の実施形態に係る監視装置における監視処理の流れの一例を示すフローチャートである。
まず、図10を用いて、監視装置10における学習処理の流れを説明する。図10に示すように、監視装置10の取得部14aは、例えば、学習データ生成指示を受け付けると(ステップS101肯定)、学習データ生成用の通信ログをITネットワーク40およびOTネットワーク50に接続されたファイアウォール20から取得する(ステップS102)。
そして、判定部14bは、各通信ログをITネットワーク40の通信ログとOTネットワーク50の通信ログとに判定する(ステップS103)。具体的には、判定部14bは、取得部14aによって取得された通信ログからパケットの宛先数、パケットサイズおよびダウンロードのデータサイズとアップロードのデータサイズとの比率のうち、いずれか一つまたは複数に基づいて、通信ログがITネットワーク40の通信ログであるのかOTネットワーク50の通信ログであるのかを判定する。
続いて、学習部14cは、OTネットワーク50の通信ログを用いて、学習データを生成する(ステップS104)。具体的には、学習部14cは、OTネットワーク50の通信ログのうち、送信元、送信先および通信プロトコルが同一のパケットごとに、パケットサイズとパケットの通信頻度とパケット間の通信間隔とを学習し、学習データを生成する。
次に、図11を用いて、監視装置10における監視処理の流れを説明する。図11に示すように監視装置10の取得部14aは、所定期間が経過すると(ステップS201肯定)、検知対象の通信ログを取得する(ステップS202)。
そして、判定部14bは、通信ログがITネットワーク40の通信ログであるかOTネットワーク50の通信ログであるかを判定する(ステップS203)。この判定の結果、通信ログがOTネットワーク50の通信ログでないと判定された場合(ステップS204否定)、すなわち通信ログがITネットワーク40の通信ログであると判定された場合には、既存のSIEMエンジンによるSIEM分析を行う(ステップS206)。
一方、通信ログがOTネットワーク50の通信ログであると判定された場合には(ステップS204肯定)、検知部14dは、検知対象の通信ログと学習データとを比較して異常を検知する(ステップS205)。この結果、通信ログから異常が検知されなかった場合には(ステップS207否定)、そのまま本フローの処理を終了する。
また、通信ログから異常が検知された場合には(ステップS207肯定)、受信部14eは、経路情報と隣接ノード情報を受信する(ステップS208)。そして、生成部14fは、経路情報に基づいて、OTネットワーク50におけるデバイス間の接続関係を示すトポロジ情報を定期的に生成する(ステップS209)。
そして、検出部14gは、生成部14fによって定期的に生成されたトポロジ情報を比較することで、該トポロジ情報の変動を監視する(ステップS210)。この結果、トポロジ情報に変動がない場合には(ステップS211否定)、そのまま本フローの処理を終了する。
また、トポロジ情報に変動がある場合には(ステップS211肯定)、検出部14gは、障害部位を検出または特定する(ステップS212)。例えば、検出部14gは、生成部14fによって定期的に生成されたトポロジ情報を比較することで、該トポロジ情報の変動を監視し、OTネットワーク50から離脱したデバイスや切り替わり頻度が高い不安定状態のデバイスを検出する。また、検出部14gは、OTネットワーク50から離脱したデバイスや切り替わり頻度が高い不安定状態のデバイスが存在する場合には、該デバイスをOTネットワーク50において障害が発生したデバイスとして特定する。
(第1の実施形態の効果)
第1の実施形態に係る監視装置10は、ITネットワーク40およびOTネットワーク50の両方から各ネットワークで送受信されたパケットの通信ログをファイアウォール20から取得する。そして、監視装置10は、取得された通信ログからパケットの宛先数、パケットのデータサイズであるパケットサイズおよびダウンロードのデータサイズとアップロードのデータサイズとの比率のうち、いずれか一つまたは複数に基づいて、通信ログがITネットワーク40の通信ログであるのかOTネットワーク50の通信ログであるのかを判定する。このため、ITネットワーク40およびOTネットワーク50それぞれの監視を容易に行うことが可能である。つまり、ITネットワーク40およびOTネットワーク50とでは、それぞれ重視しているセキュリティ脅威が異なるが、ファイアウォール20の通信ログを取得するのみで、ITネットワーク40の通信ログと、OTネットワーク50の通信ログとに判別し、それぞれの通信ログに適した解析処理等を行うことができるので、専用のセキュリティ対策設備を設けることなく、両ネットワークの監視を容易に行うことが可能である。また、ITネットワーク40およびOTネットワーク50の資産情報等を事前に登録することなく、通信ログを自動で判定するので、ユーザの手間がかからないという効果を奏する。
また、監視装置10は、OTネットワーク50の通信ログのうち、送信元、送信先および通信プロトコルが同一のパケットごとに、パケットサイズとパケットの通信頻度とパケット間の通信間隔とを学習し、学習データを生成する。そして、監視装置10は、検知対象の通信ログを取得し、該検知対象の通信ログにおけるパケットと、該パケットと送信元、送信先および通信プロトコルが同一の学習データとを比較し、該比較結果に応じて、検知対象の通信ログの異常を検知する。このため、OTネットワーク50に対して専用プロトコルのセキュリティアプライアンス無しに、OTのセキュリティ脅威をモニタリングすることが可能である。
また、監視装置10は、OTネットワーク50における各デバイスの経路情報を受信する。そして、監視装置10は、経路情報に基づいて、OTネットワーク50におけるデバイス間の接続関係を示すトポロジ情報を定期的に生成し、定期的に生成されたトポロジ情報から該トポロジ情報の変動を検出する。そして、監視装置10は、監視されたトポロジの変動に基づいて、OTネットワーク50において障害が発生したデバイスを検出する。このため、ファイアウォール20というIT系の機器から通信ログを得るだけで、自動的にOTネットワーク50における障害発生個所を特定することが可能である。
(システム構成等)
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施の形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
(プログラム)
また、上記実施形態において説明した監視装置が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。例えば、実施形態に係る監視装置10が実行する処理をコンピュータが実行可能な言語で記述した監視プログラムを作成することもできる。この場合、コンピュータが監視プログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかる監視プログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録された監視プログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。
図12は、監視プログラムを実行するコンピュータ1000を示す図である。図12に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有し、これらの各部はバス1080によって接続される。
メモリ1010は、図12に例示するように、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、図12に例示するように、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、図12に例示するように、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、図12に例示するように、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、図12に例示するように、例えばディスプレイ1130に接続される。
ここで、図12に例示するように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、上記の監視プログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1090に記憶される。
また、上記実施形態で説明した各種データは、プログラムデータとして、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出し、各種処理手順を実行する。
なお、監視プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ等を介してCPU1020によって読み出されてもよい。あるいは、監視プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
上記の実施形態やその変形は、本願が開示する技術に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。
10 監視装置
11 通信処理部
12 入力部
13 出力部
14 制御部
14a 取得部
14b 判定部
14c 学習部
14d 検知部
14e 受信部
14f 生成部
14g 検出部
14h アラート発出部
15 記憶部
15a スコア情報記憶部
15b 学習データ記憶部
15c OT/ITリスト記憶部
20 ファイアウォール
30、30A〜30C ゲートウェイ
40 ITネットワーク
50、50A〜50C OTネットワーク
60 IPネットワーク
70 インターネット

Claims (8)

  1. ITネットワークおよびOTネットワークの両方から各ネットワークで送受信されたパケットの通信ログを取得する取得手段と、
    前記取得手段によって取得された通信ログからパケットの宛先数、パケットサイズおよびダウンロードのデータサイズとアップロードのデータサイズとの比率のうち、いずれか一つまたは複数に基づいて、前記通信ログがITネットワークの通信ログであるのかOTネットワークの通信ログであるのかを判定する判定手段と、
    前記OTネットワークの通信ログのうち、送信元、送信先および通信プロトコルが同一のパケットごとに、パケットサイズとパケットの通信頻度とパケット間の通信間隔とを学習し、学習データを生成する学習手段と、
    検知対象の通信ログを取得し、該検知対象の通信ログにおけるパケットと、該パケットと送信元、送信先および通信プロトコルが同一の学習データとを比較し、該比較結果に応じて、前記検知対象の通信ログの異常を検知する検知手段と、
    を備え
    前記検知手段は、前記検知対象の通信ログと前記学習データとを比較した結果、前記検知対象の通信ログが前記学習データよりもパケットサイズが小さく、通信頻度が少なく、且つ、通信間隔が長いと判定した場合には、前記OTネットワークにおいて障害部位が存在する可能性があるものと判定して、前記検知対象の通信ログの異常を検知し、前記検知対象の通信ログが学習データよりもデータサイズが大きく、通信頻度が多く、且つ、通信間隔が短いと判定した場合には、前記OTネットワークにおいて成りすましやマルウェアの感染後の活動の可能性があるものと判定して、前記通信ログの異常を検知することを特徴とする監視装置。
  2. 前記判定手段は、送信元が同一の通信ログごとに、前記宛先数、前記パケットサイズおよび前記比率をそれぞれ算出し、算出した前記宛先数、前記パケットサイズおよび前記比率に応じて、OTネットワークの通信ログの特徴の度合いを示すスコアを計算し、該スコアが所定の閾値超えている場合には、前記通信ログがOTネットワークの通信ログであると判定し、前記スコアが所定の閾値以下である場合には、前記通信ログがITネットワークの通信ログであると判定することを特徴とする請求項1に記載の監視装置。
  3. 記OTネットワークにおける各デバイスの経路情報を受信する受信手段と、
    前記経路情報に基づいて、前記OTネットワークにおけるデバイス間の接続関係を示すトポロジ情報を生成する生成手段と、
    前記生成手段によって生成されたトポロジ情報から該トポロジ情報の変動を監視し、前記トポロジ情報の変動に基づいて、前記OTネットワークにおいて障害が発生したデバイスを検出する検出手段と、
    をさらに備えることを特徴とする請求項1に記載の監視装置。
  4. 前記受信手段は、前記経路情報とともに、デバイス間の電波強度を示す隣接ノード情報を受信し、
    前記検出手段は、前記トポロジ情報の変動に基づいて、前記OTネットワークにおいて障害が発生したデバイスを検出するとともに、前記隣接ノード情報からデバイス間の電波強度を監視し、デバイス間の電波強度の品質の悪いデバイスを前記OTネットワークにおいて障害が発生したデバイスとして検出することを特徴とする請求項に記載の監視装置。
  5. 前記検出手段は、前記OTネットワークにおいて障害が発生したデバイスを検出し、障害が発生した各デバイスについて、所定期間において障害発生した際の他のデバイスとの接続数を計数し、前記所定期間における該接続数の合計が所定の閾値を超えたデバイスを、接続状態が不安定な状態にあるデバイスとして特定することを特徴とする請求項に記載の監視装置。
  6. 前記検出手段は、前記OTネットワークにおいて障害が発生したデバイスを検出し、障害が発生した各デバイスについて、所定期間内において各デバイスの障害が発生した回数をカウントし、該回数が所定の閾値を超えたデバイスを特定することを特徴とする請求項に記載の監視装置。
  7. 監視装置によって実行される監視方法であって、
    ITネットワークおよびOTネットワークの両方から各ネットワークで送受信されたパケットの通信ログを取得する取得工程と、
    前記取得工程によって取得された通信ログからパケットの宛先数、パケットサイズおよびダウンロードのデータサイズとアップロードのデータサイズとの比率のうち、いずれか一つまたは複数に基づいて、前記通信ログがITネットワークの通信ログであるのかOTネットワークの通信ログであるのかを判定する判定工程と、
    前記OTネットワークの通信ログのうち、送信元、送信先および通信プロトコルが同一のパケットごとに、パケットサイズとパケットの通信頻度とパケット間の通信間隔とを学習し、学習データを生成する学習工程と、
    検知対象の通信ログを取得し、該検知対象の通信ログにおけるパケットと、該パケットと送信元、送信先および通信プロトコルが同一の学習データとを比較し、該比較結果に応じて、前記検知対象の通信ログの異常を検知する検知工程と、
    を含み、
    前記検知工程は、前記検知対象の通信ログと前記学習データとを比較した結果、前記検知対象の通信ログが前記学習データよりもパケットサイズが小さく、通信頻度が少なく、且つ、通信間隔が長いと判定した場合には、前記OTネットワークにおいて障害部位が存在する可能性があるものと判定して、前記検知対象の通信ログの異常を検知し、前記検知対象の通信ログが学習データよりもデータサイズが大きく、通信頻度が多く、且つ、通信間隔が短いと判定した場合には、前記OTネットワークにおいて成りすましやマルウェアの感染後の活動の可能性があるものと判定して、前記通信ログの異常を検知することを特徴とする監視方法。
  8. ITネットワークおよびOTネットワークの両方から各ネットワークで送受信されたパケットの通信ログを取得する取得ステップと、
    前記取得ステップによって取得された通信ログからパケットの宛先数、パケットサイズおよびダウンロードのデータサイズとアップロードのデータサイズとの比率のうち、いずれか一つまたは複数に基づいて、前記通信ログがITネットワークの通信ログであるのかOTネットワークの通信ログであるのかを判定する判定ステップと、
    前記OTネットワークの通信ログのうち、送信元、送信先および通信プロトコルが同一のパケットごとに、パケットサイズとパケットの通信頻度とパケット間の通信間隔とを学習し、学習データを生成する学習ステップと、
    検知対象の通信ログを取得し、該検知対象の通信ログにおけるパケットと、該パケットと送信元、送信先および通信プロトコルが同一の学習データとを比較し、該比較結果に応じて、前記検知対象の通信ログの異常を検知する検知ステップと、
    をコンピュータに実行させ
    前記検知ステップは、前記検知対象の通信ログと前記学習データとを比較した結果、前記検知対象の通信ログが前記学習データよりもパケットサイズが小さく、通信頻度が少なく、且つ、通信間隔が長いと判定した場合には、前記OTネットワークにおいて障害部位が存在する可能性があるものと判定して、前記検知対象の通信ログの異常を検知し、前記検知対象の通信ログが学習データよりもデータサイズが大きく、通信頻度が多く、且つ、通信間隔が短いと判定した場合には、前記OTネットワークにおいて成りすましやマルウェアの感染後の活動の可能性があるものと判定して、前記通信ログの異常を検知することを特徴とする監視プログラム。
JP2016135304A 2016-07-07 2016-07-07 監視装置、監視方法および監視プログラム Active JP6711710B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016135304A JP6711710B2 (ja) 2016-07-07 2016-07-07 監視装置、監視方法および監視プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016135304A JP6711710B2 (ja) 2016-07-07 2016-07-07 監視装置、監視方法および監視プログラム

Publications (2)

Publication Number Publication Date
JP2018007179A JP2018007179A (ja) 2018-01-11
JP6711710B2 true JP6711710B2 (ja) 2020-06-17

Family

ID=60949504

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016135304A Active JP6711710B2 (ja) 2016-07-07 2016-07-07 監視装置、監視方法および監視プログラム

Country Status (1)

Country Link
JP (1) JP6711710B2 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019125914A (ja) 2018-01-16 2019-07-25 アラクサラネットワークス株式会社 通信装置及びプログラム
JP6937251B2 (ja) * 2018-01-24 2021-09-22 株式会社東芝 異常要因判定装置、制御システム、および異常要因判定方法
JP7109391B2 (ja) 2019-02-26 2022-07-29 株式会社日立製作所 不正通信検知装置および不正通信検知プログラム
JP7339542B2 (ja) * 2020-01-29 2023-09-06 富士通株式会社 管理装置、管理システムおよび管理方法
WO2021192191A1 (ja) 2020-03-27 2021-09-30 日本電気株式会社 異常アクセス予測システム、異常アクセス予測方法およびプログラム記録媒体
JP7420247B2 (ja) 2020-05-29 2024-01-23 日本電気株式会社 計量学習装置、計量学習方法、計量学習プログラム、及び検索装置
JP2023144705A (ja) * 2022-03-28 2023-10-11 エヌ・ティ・ティ・コミュニケーションズ株式会社 処理装置、処理方法及び処理プログラム

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4228772B2 (ja) * 2003-05-12 2009-02-25 富士通株式会社 ネットワーク監視方法およびネットワーク監視装置
JP5655191B2 (ja) * 2011-06-28 2015-01-21 日本電信電話株式会社 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム
JP5812282B2 (ja) * 2011-12-16 2015-11-11 公立大学法人大阪市立大学 トラヒック監視装置
JP2014232923A (ja) * 2013-05-28 2014-12-11 日本電気株式会社 通信装置、サイバー攻撃検出方法、及びプログラム
JP2015043522A (ja) * 2013-08-26 2015-03-05 株式会社日立製作所 ゲートウェイ装置、パケット振り分け制御方法および無線通信システム
GB2519341A (en) * 2013-10-18 2015-04-22 Nec Corp Data transmission from mobile radio communications device
JP2016046669A (ja) * 2014-08-22 2016-04-04 沖電気工業株式会社 パケット処理装置、プログラム及び方法

Also Published As

Publication number Publication date
JP2018007179A (ja) 2018-01-11

Similar Documents

Publication Publication Date Title
JP6711710B2 (ja) 監視装置、監視方法および監視プログラム
US10560280B2 (en) Network security analysis for smart appliances
US10681079B2 (en) Method for mitigation of cyber attacks on industrial control systems
EP3635914B1 (en) Anomaly detection in computer networks
US9860278B2 (en) Log analyzing device, information processing method, and program
US10097572B1 (en) Security for network computing environment based on power consumption of network devices
US20160330225A1 (en) Systems, Methods, and Devices for Detecting Anomalies in an Industrial Control System
US20230156471A1 (en) Adaptive scanning
JP6258562B2 (ja) 中継装置、ネットワーク監視システム及びプログラム
US20210099473A1 (en) Anomaly detection including property changes
CA2844225A1 (en) Intelligent cyberphysical intrusion detection and prevention systems and methods for industrial control systems
JP2015171052A (ja) 識別装置、識別プログラム、及び識別方法
KR101585342B1 (ko) 이상행위 탐지 장치 및 방법
GB2532630A (en) Network intrusion alarm method and system for nuclear power station
KR101281456B1 (ko) 자기 유사성을 이용한 scada 네트워크의 이상증후를 탐지하는 장치 및 방법
EP3286650B1 (en) Network security analysis for smart appliances
CN109743339B (zh) 电力厂站的网络安全监测方法和装置、计算机设备
Lara et al. Smart home anomaly-based IDS: Architecture proposal and case study
JP6470201B2 (ja) 攻撃検知装置、攻撃検知システムおよび攻撃検知方法
CN114172702A (zh) 一种电网工控系统网络安全监测方法及系统
Cole et al. Distance Measures for Competitive Learning-based Anomaly Detection in Industrial Control Systems.
Lara Romero et al. Smart home anomaly-based IDS: architecture proposal and case study
Han et al. Design of Multi-Protocol Industrial Ethernet Security Monitor
KR20160074695A (ko) 사물인터넷 환경에서 비정상적 정보 유출 행위 탐지를 위한 비정형 정보 및 디지털 패킷 유출 분석 시스템
CN116318934A (zh) 基于物联网设备行为建模的安全预警方法及系统

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190125

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20191021

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191112

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191226

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200212

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200408

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200428

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200528

R150 Certificate of patent or registration of utility model

Ref document number: 6711710

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250