JP7325695B1 - データ処理装置、データ処理方法及びデータ処理プログラム - Google Patents
データ処理装置、データ処理方法及びデータ処理プログラム Download PDFInfo
- Publication number
- JP7325695B1 JP7325695B1 JP2023529876A JP2023529876A JP7325695B1 JP 7325695 B1 JP7325695 B1 JP 7325695B1 JP 2023529876 A JP2023529876 A JP 2023529876A JP 2023529876 A JP2023529876 A JP 2023529876A JP 7325695 B1 JP7325695 B1 JP 7325695B1
- Authority
- JP
- Japan
- Prior art keywords
- phase
- learning
- attack detection
- communication data
- learning phase
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003672 processing method Methods 0.000 title claims description 3
- PWPJGUXAGUPAHP-UHFFFAOYSA-N lufenuron Chemical compound C1=C(Cl)C(OC(F)(F)C(C(F)(F)F)F)=CC(Cl)=C1NC(=O)NC(=O)C1=C(F)C=CC=C1F PWPJGUXAGUPAHP-UHFFFAOYSA-N 0.000 title 1
- 238000001514 detection method Methods 0.000 claims abstract description 264
- 238000004891 communication Methods 0.000 claims abstract description 229
- 238000000034 method Methods 0.000 claims description 162
- 238000013499 data model Methods 0.000 claims 1
- 238000007405 data analysis Methods 0.000 description 29
- 239000000284 extract Substances 0.000 description 16
- 238000010586 diagram Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 8
- 238000010801 machine learning Methods 0.000 description 6
- 238000013528 artificial neural network Methods 0.000 description 3
- 238000012706 support-vector machine Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
通信部(203)は、監視対象システムで通信される、監視対象システムの動作状態を推定可能なパラメータ値が含まれる通信データを、学習フェーズにおいて、学習フェーズ通信データとして取得する。状態入力部(204)は、学習フェーズにおいて、監視対象システムの動作状態である学習フェーズ動作状態を示す学習フェーズ動作状態値を取得する。学習部(210)は、学習フェーズにおいて、学習フェーズ通信データに含まれる学習フェーズパラメータ値と学習フェーズ動作状態値とを用いた学習を行い、攻撃検知フェーズにおいて監視対象システムで通信される通信データである攻撃検知フェーズ通信データに含まれる攻撃検知フェーズパラメータ値から監視対象システムの動作状態である攻撃検知フェーズ動作状態を推定するための学習モデル(215)を生成する。
Description
本開示は、監視対象システムへの攻撃を検知する技術に関する。
近年、情報システムがサイバー攻撃の標的になるケースが増加している。このようなサイバー攻撃を検知するための技術として、特許文献1の技術がある。
特許文献1の技術では、監視対象システムの動作状態を考慮して攻撃の検知が行われる。
特許文献1の技術では、監視対象システムの動作状態を考慮して攻撃の検知が行われる。
特許文献1の技術では、監視対象システムが現在いずれの動作状態であるかをユーザが入力する必要がある。
ユーザにとって監視対象システムがいずれの動作状態であるかを見極めることは困難である。このため、ユーザが監視対象システムの動作状態を誤って認識してしまうと、監視対象システムへの攻撃を正しく検知することができないという課題がある。
ユーザにとって監視対象システムがいずれの動作状態であるかを見極めることは困難である。このため、ユーザが監視対象システムの動作状態を誤って認識してしまうと、監視対象システムへの攻撃を正しく検知することができないという課題がある。
本開示は、上記のような課題を解決することを主な目的の一つとしている。より具体的には、本開示は、監視対象システムの動作状態を正しく推定できるようにして、監視対象システムへの攻撃を正しく検知できるようにすることを主な目的とする。
本開示に係るデータ処理装置は、
攻撃検知フェーズにおいて攻撃検知のために監視される監視対象システムで通信される、前記監視対象システムの動作状態を推定可能なパラメータ値が含まれる通信データを、前記攻撃検知フェーズに先立つ学習フェーズにおいて、学習フェーズ通信データとして取得する通信データ取得部と、
前記学習フェーズにおいて、前記学習フェーズ通信データの通信時の前記監視対象システムの動作状態である学習フェーズ動作状態を示す学習フェーズ動作状態値を取得する学習フェーズ動作状態値取得部と、
前記学習フェーズにおいて、前記学習フェーズ通信データに含まれるパラメータ値である学習フェーズパラメータ値と前記学習フェーズ動作状態値とを用いた学習を行い、前記攻撃検知フェーズにおいて前記監視対象システムで通信される通信データである攻撃検知フェーズ通信データに含まれるパラメータ値である攻撃検知フェーズパラメータ値から前記攻撃検知フェーズ通信データの通信時の前記監視対象システムの動作状態である攻撃検知フェーズ動作状態を推定するための状態推定モデルを生成するモデル生成部とを有する。
攻撃検知フェーズにおいて攻撃検知のために監視される監視対象システムで通信される、前記監視対象システムの動作状態を推定可能なパラメータ値が含まれる通信データを、前記攻撃検知フェーズに先立つ学習フェーズにおいて、学習フェーズ通信データとして取得する通信データ取得部と、
前記学習フェーズにおいて、前記学習フェーズ通信データの通信時の前記監視対象システムの動作状態である学習フェーズ動作状態を示す学習フェーズ動作状態値を取得する学習フェーズ動作状態値取得部と、
前記学習フェーズにおいて、前記学習フェーズ通信データに含まれるパラメータ値である学習フェーズパラメータ値と前記学習フェーズ動作状態値とを用いた学習を行い、前記攻撃検知フェーズにおいて前記監視対象システムで通信される通信データである攻撃検知フェーズ通信データに含まれるパラメータ値である攻撃検知フェーズパラメータ値から前記攻撃検知フェーズ通信データの通信時の前記監視対象システムの動作状態である攻撃検知フェーズ動作状態を推定するための状態推定モデルを生成するモデル生成部とを有する。
本開示によれば、監視対象システムの動作状態を正しく推定することができ、この結果、監視対象システムへの攻撃を正しく検知することができる。
以下、実施の形態を図を用いて説明する。以下の実施の形態の説明及び図面において、同一の符号を付したものは、同一の部分又は相当する部分を示す。
実施の形態1.
***構成の説明***
図1は、本実施の形態に係る全体構成を示す。
本実施の形態では、図1に示すように、侵入検知装置200と被制御装置300と制御装置400とがネットワーク100を介して接続されている。
***構成の説明***
図1は、本実施の形態に係る全体構成を示す。
本実施の形態では、図1に示すように、侵入検知装置200と被制御装置300と制御装置400とがネットワーク100を介して接続されている。
被制御装置300と制御装置400は、相互に通信データ(例えば、通信パケット)を通信する。
図1では、被制御装置300と制御装置400が1つずつ示されているが、被制御装置300と制御装置400がそれぞれ2つ以上存在してもよい。
被制御装置300と制御装置400は、侵入検知装置200による監視の対象となる監視対象システム500に相当する。被制御装置300と制御装置400とを区別する必要がない場合は被制御装置300と制御装置400とをまとめて監視対象システム500と記す。
図1では、被制御装置300と制御装置400が1つずつ示されているが、被制御装置300と制御装置400がそれぞれ2つ以上存在してもよい。
被制御装置300と制御装置400は、侵入検知装置200による監視の対象となる監視対象システム500に相当する。被制御装置300と制御装置400とを区別する必要がない場合は被制御装置300と制御装置400とをまとめて監視対象システム500と記す。
侵入検知装置200は、攻撃検知のために監視対象システム500を監視する。また、侵入検知装置200は、監視対象システム500の動作状態を推定するための機械学習(以下、単に学習ともいう)を行う。
侵入検知装置200は、学習のため及び攻撃検知のために、被制御装置300と制御装置400との間で通信される通信データを取得する。
侵入検知装置200は、例えば、ネットワーク100上のスイッチングハブ(図示せず)のミラーポートに接続されている。
被制御装置300と制御装置400との間で通信される通信データには監視対象システム500の動作状態を推定可能なパラメータ値が含まれる。
侵入検知装置200は、データ処理装置に相当する。また、侵入検知装置200の動作手順は、データ処理方法に相当する。また、侵入検知装置200の動作を実現するプログラムは、データ処理プログラムに相当する。
侵入検知装置200は、学習のため及び攻撃検知のために、被制御装置300と制御装置400との間で通信される通信データを取得する。
侵入検知装置200は、例えば、ネットワーク100上のスイッチングハブ(図示せず)のミラーポートに接続されている。
被制御装置300と制御装置400との間で通信される通信データには監視対象システム500の動作状態を推定可能なパラメータ値が含まれる。
侵入検知装置200は、データ処理装置に相当する。また、侵入検知装置200の動作手順は、データ処理方法に相当する。また、侵入検知装置200の動作を実現するプログラムは、データ処理プログラムに相当する。
侵入検知装置200の構成例の詳細を説明する前に、侵入検知装置200の動作の概要を説明する。
侵入検知装置200の動作フェーズは、学習フェーズと攻撃検知フェーズとに大別される。
学習フェーズは、攻撃検知フェーズに先立って実施される。学習フェーズでは機械学習が行われる。攻撃検知フェーズでは機械学習の結果を用いて監視対象システム500への攻撃の検知が行われる。
以下、学習フェーズと攻撃検知フェーズとにおける侵入検知装置200の動作の概要を説明する。
侵入検知装置200の動作フェーズは、学習フェーズと攻撃検知フェーズとに大別される。
学習フェーズは、攻撃検知フェーズに先立って実施される。学習フェーズでは機械学習が行われる。攻撃検知フェーズでは機械学習の結果を用いて監視対象システム500への攻撃の検知が行われる。
以下、学習フェーズと攻撃検知フェーズとにおける侵入検知装置200の動作の概要を説明する。
学習フェーズでは、侵入検知装置200は、学習のために、被制御装置300と制御装置400との間で通信される通信データを取得する。なお、学習フェーズで侵入検知装置200が取得する通信データは学習フェーズ通信データという。
また、侵入検知装置200は、学習フェーズ通信データの通信時の監視対象システム500の動作状態を示す値を侵入検知装置200のユーザから取得する。学習フェーズ通信データの通信時の監視対象システム500の動作状態は学習フェーズ動作状態という。また、学習フェーズ動作状態を示す値を学習フェーズ動作状態値という。
侵入検知装置200は、学習フェーズ動作状態値として、例えば、停止、立ち上げ、運転、立ち下げ、保守等のうちのいずれかを示す値をユーザの入力により取得する。
また、侵入検知装置200は、学習フェーズ通信データの通信時の監視対象システム500の動作状態を示す値を侵入検知装置200のユーザから取得する。学習フェーズ通信データの通信時の監視対象システム500の動作状態は学習フェーズ動作状態という。また、学習フェーズ動作状態を示す値を学習フェーズ動作状態値という。
侵入検知装置200は、学習フェーズ動作状態値として、例えば、停止、立ち上げ、運転、立ち下げ、保守等のうちのいずれかを示す値をユーザの入力により取得する。
また、侵入検知装置200は、学習フェーズパラメータ値と学習フェーズ動作状態値とを用いた機械学習を行う。学習フェーズパラメータ値は学習フェーズ通信データに含まれるパラメータ値である。
そして、機械学習により、侵入検知装置200は状態推定モデルである学習モデルを生成する。
学習モデルは、攻撃検知フェーズパラメータ値から攻撃検知フェーズ通信データの通信時の監視対象システム500の動作状態を推定するためのモデルである。攻撃検知フェーズ通信データは攻撃検知フェーズにおいて監視対象システム500で通信される通信データである。攻撃検知フェーズパラメータ値は攻撃検知フェーズ通信データに含まれるパラメータ値である。
なお、攻撃検知フェーズ通信データの通信時の監視対象システム500の動作状態を攻撃検知フェーズ動作状態という。
そして、機械学習により、侵入検知装置200は状態推定モデルである学習モデルを生成する。
学習モデルは、攻撃検知フェーズパラメータ値から攻撃検知フェーズ通信データの通信時の監視対象システム500の動作状態を推定するためのモデルである。攻撃検知フェーズ通信データは攻撃検知フェーズにおいて監視対象システム500で通信される通信データである。攻撃検知フェーズパラメータ値は攻撃検知フェーズ通信データに含まれるパラメータ値である。
なお、攻撃検知フェーズ通信データの通信時の監視対象システム500の動作状態を攻撃検知フェーズ動作状態という。
また、学習フェーズでは、侵入検知装置200は、攻撃検知フェーズにおいて監視対象システム500への攻撃を検知するための検知ルールを生成する。
攻撃検知フェーズでは、侵入検知装置200は、監視対象システム500で通信される通信データ(攻撃検知フェーズ通信データ)を取得する。
また、侵入検知装置200は、攻撃検知フェーズパラメータ値と学習モデルとを用いて攻撃検知フェーズ動作状態を推定する。
更に、侵入検知装置200は、検知ルールと通信データ(攻撃検知フェーズ通信データ)とを用いて、監視対象システム500への攻撃を検知する。
また、侵入検知装置200は、攻撃検知フェーズパラメータ値と学習モデルとを用いて攻撃検知フェーズ動作状態を推定する。
更に、侵入検知装置200は、検知ルールと通信データ(攻撃検知フェーズ通信データ)とを用いて、監視対象システム500への攻撃を検知する。
次に、侵入検知装置200の構成例を説明する。
図2は、侵入検知装置200のハードウェア構成例を示す。図3は、侵入検知装置200の機能構成例を示す。
先ず、図2を参照して、侵入検知装置200のハードウェア構成例を説明する。
図2は、侵入検知装置200のハードウェア構成例を示す。図3は、侵入検知装置200の機能構成例を示す。
先ず、図2を参照して、侵入検知装置200のハードウェア構成例を説明する。
侵入検知装置200は、コンピュータである。
侵入検知装置200は、ハードウェアとして、プロセッサ901、主記憶装置902、補助記憶装置903、通信装置904及び入出力装置905を備える。
また、侵入検知装置200は、機能構成として、図3に示すように処理部201、記憶部202、通信部203、状態入力部204及び結果出力部205を備える。処理部201、通信部203、状態入力部204及び結果出力部205の機能は、例えば、プログラムにより実現される。
補助記憶装置903には、処理部201、通信部203、状態入力部204及び結果出力部205の機能を実現するプログラムが記憶されている。
これらプログラムは、補助記憶装置903から主記憶装置902にロードされる。そして、プロセッサ901がこれらプログラムを実行して、後述する処理部201、通信部203、状態入力部204及び結果出力部205の動作を行う。
図2は、プロセッサ901が処理部201、通信部203、状態入力部204及び結果出力部205の機能を実現するプログラムを実行している状態を模式的に表している。
図3に示す記憶部202は、例えば、主記憶装置902及び/又は補助記憶装置903により実現される。
入出力装置905は、マウス、キーボード、カメラ、ディスプレイ、スピーカ等である。
侵入検知装置200は、ハードウェアとして、プロセッサ901、主記憶装置902、補助記憶装置903、通信装置904及び入出力装置905を備える。
また、侵入検知装置200は、機能構成として、図3に示すように処理部201、記憶部202、通信部203、状態入力部204及び結果出力部205を備える。処理部201、通信部203、状態入力部204及び結果出力部205の機能は、例えば、プログラムにより実現される。
補助記憶装置903には、処理部201、通信部203、状態入力部204及び結果出力部205の機能を実現するプログラムが記憶されている。
これらプログラムは、補助記憶装置903から主記憶装置902にロードされる。そして、プロセッサ901がこれらプログラムを実行して、後述する処理部201、通信部203、状態入力部204及び結果出力部205の動作を行う。
図2は、プロセッサ901が処理部201、通信部203、状態入力部204及び結果出力部205の機能を実現するプログラムを実行している状態を模式的に表している。
図3に示す記憶部202は、例えば、主記憶装置902及び/又は補助記憶装置903により実現される。
入出力装置905は、マウス、キーボード、カメラ、ディスプレイ、スピーカ等である。
図3において、処理部201は、通信データ解析部207、プロセス値テーブル更新部208、通信データ検知部209、学習部210、検知ルール生成部211、状態推定部212及び攻撃検知部213で構成される。
通信データ解析部207、プロセス値テーブル更新部208、通信データ検知部209、学習部210、検知ルール生成部211、状態推定部212及び攻撃検知部213の各々の詳細は後述する。
通信データ解析部207、プロセス値テーブル更新部208、通信データ検知部209、学習部210、検知ルール生成部211、状態推定部212及び攻撃検知部213の各々の詳細は後述する。
記憶部202は、プロセス値テーブル214、学習モデル215及び検知ルール216を記憶する。
プロセス値テーブル214は、プロセス値を管理するためのテーブルである。プロセス値は、通信データに含まれるパラメータ値である。プロセス値は、監視対象システム500の動作状態を推定可能なパラメータ値である。
プロセス値テーブル214では、学習フェーズ及び攻撃検知フェーズの各々でプロセス値が管理される。学習フェーズにおいてプロセス値テーブル214で管理されるプロセス値は学習フェーズパラメータ値に相当する。一方、攻撃検知フェーズにおいてプロセス値テーブル214で管理されるプロセス値は攻撃検知フェーズパラメータ値に相当する。
プロセス値テーブル214では、学習フェーズ及び攻撃検知フェーズの各々でプロセス値が管理される。学習フェーズにおいてプロセス値テーブル214で管理されるプロセス値は学習フェーズパラメータ値に相当する。一方、攻撃検知フェーズにおいてプロセス値テーブル214で管理されるプロセス値は攻撃検知フェーズパラメータ値に相当する。
学習モデル215は、攻撃検知フェーズにおいて監視対象システム500の動作状態を推定するための状態推定モデルである。
検知ルール216は、攻撃検知フェーズにおいて監視対象システム500への攻撃を検知するためのルールである。
図4は、学習フェーズでの通信部203、状態入力部204、通信データ解析部207、プロセス値テーブル更新部208,通信データ検知部209、学習部210及び検知ルール生成部211の動作の概要を示す。
通信部203は、通信装置904を用いて、ネットワーク100から監視対象システム500で通信される通信データ219(学習フェーズ通信データ)を取得する。通信部203は、通信データ219を繰り返し取得する。そして、通信部203は、通信データ219を取得する度に、取得した通信データ219を通信データ解析部207、通信データ検知部209及び検知ルール生成部211に出力する。
通信部203は、本開示に係る通信データ取得部に相当する。また、通信部203により行われる処理は、本開示に係る通信データ取得処理に相当する。
通信部203は、本開示に係る通信データ取得部に相当する。また、通信部203により行われる処理は、本開示に係る通信データ取得処理に相当する。
状態入力部204は、通信部203が通信データを取得した際に、入出力装置905を介して、侵入検知装置200のユーザから学習フェーズ動作状態値221を取得する。
状態入力部204は、本開示に係る学習フェーズ動作状態値取得部に相当する。また、状態入力部204により行われる処理は、本開示に係る学習フェーズ動作状態値取得処理に相当する。
状態入力部204は、本開示に係る学習フェーズ動作状態値取得部に相当する。また、状態入力部204により行われる処理は、本開示に係る学習フェーズ動作状態値取得処理に相当する。
通信データ解析部207は、通信データ219を解析する。そして、通信データ解析部207は、通信データ219からプロセス値220を抽出する。
つまり、通信データ解析部207は、通信データ219から学習フェーズパラメータ値としてプロセス値220を抽出する。
つまり、通信データ解析部207は、通信データ219から学習フェーズパラメータ値としてプロセス値220を抽出する。
プロセス値テーブル更新部208は、プロセス値テーブル214を更新する。
つまり、プロセス値テーブル更新部208は、通信データ解析部207によりプロセス値220が抽出される度に、抽出されたプロセス値220でプロセス値テーブル214を更新する。
つまり、プロセス値テーブル更新部208は、通信データ解析部207によりプロセス値220が抽出される度に、抽出されたプロセス値220でプロセス値テーブル214を更新する。
通信データ検知部209は、通信部203により通信データ219(学習フェーズ通信データ)が取得されたことを検知する。そして、通信データ検知部209は、学習部210にプロセス値テーブル214を出力し、学習部210に学習の実施を指示する。
学習部210は、プロセス値テーブル214に含まれるプロセス値220と学習フェーズ動作状態値221とを用いた学習を行う。プロセス値テーブル214に含まれるプロセス値220は学習フェーズパラメータ値である。
そして、学習により、学習部210は、学習モデル215を生成する。
学習部210は、例えば、サポートベクタマシン、ニューラルネットワークといった学習手法を用いる。
学習部210は、本開示に係るモデル生成部に相当する。また、学習部210により行われる処理は、本開示に係るモデル生成処理に相当する。
そして、学習により、学習部210は、学習モデル215を生成する。
学習部210は、例えば、サポートベクタマシン、ニューラルネットワークといった学習手法を用いる。
学習部210は、本開示に係るモデル生成部に相当する。また、学習部210により行われる処理は、本開示に係るモデル生成処理に相当する。
検知ルール生成部211は、通信データ219と学習フェーズ動作状態値221とを用いて、検知ルール216を生成する。
図5は、攻撃検知フェーズでの通信部203、結果出力部205、通信データ解析部207、プロセス値テーブル更新部208、通信データ検知部209、状態推定部212及び攻撃検知部213の動作の概要を示す。
通信部203は、ネットワーク100から監視対象システム500で通信される通信データ219(攻撃検知フェーズ通信データ)を取得する。
通信データ解析部207は、通信データ219を解析する。そして、通信データ解析部207は、通信データ219からプロセス値220を抽出する。
つまり、通信データ解析部207は、通信データ219から攻撃検知フェーズパラメータ値としてプロセス値220を抽出する。
つまり、通信データ解析部207は、通信データ219から攻撃検知フェーズパラメータ値としてプロセス値220を抽出する。
プロセス値テーブル更新部208は、プロセス値テーブル214を更新する。
つまり、プロセス値テーブル更新部208は、通信データ解析部207によりプロセス値220が抽出される度に、抽出されたプロセス値220でプロセス値テーブル214を更新する。
つまり、プロセス値テーブル更新部208は、通信データ解析部207によりプロセス値220が抽出される度に、抽出されたプロセス値220でプロセス値テーブル214を更新する。
通信データ検知部209は、通信部203により通信データ219(攻撃検知フェーズ通信データ)が取得されたことを検知する。そして、通信データ検知部209は、状態推定部212にプロセス値テーブル214を出力し、状態推定部212に状態推定の実施を指示する。
状態推定部212は、プロセス値テーブル214に含まれるプロセス値220と学習モデル215とを用いて、監視対象システム500の現在の動作状態(攻撃検知フェーズ動作状態)を推定する。プロセス値テーブル214に含まれるプロセス値220は攻撃検知フェーズパラメータ値である。
そして、状態推定部212は、推定した動作状態を、攻撃検知フェーズ動作状態222として攻撃検知部213に出力する。
そして、状態推定部212は、推定した動作状態を、攻撃検知フェーズ動作状態222として攻撃検知部213に出力する。
攻撃検知部213は、攻撃検知フェーズ動作状態222と検知ルール216と通信データ219(攻撃検知フェーズ通信データ)とを用いて、監視対象システム500への攻撃を検知する。
結果出力部205は、入出力装置905を介して、侵入検知装置200のユーザに検知結果217を出力する。
検知結果217は、攻撃検知部213による監視対象システム500への攻撃の有無の判定結果である。
攻撃検知部213により監視対象システム500への攻撃が発生していると判定された場合は、検知結果217により攻撃の検知がユーザに通知される。攻撃検知部213により監視対象システム500への攻撃がないと判定された場合は、検知結果217により攻撃がない旨が通知される。
検知結果217は、攻撃検知部213による監視対象システム500への攻撃の有無の判定結果である。
攻撃検知部213により監視対象システム500への攻撃が発生していると判定された場合は、検知結果217により攻撃の検知がユーザに通知される。攻撃検知部213により監視対象システム500への攻撃がないと判定された場合は、検知結果217により攻撃がない旨が通知される。
***動作の説明***
次に、本実施の形態に係る侵入検知装置200の動作の詳細を説明する。
次に、本実施の形態に係る侵入検知装置200の動作の詳細を説明する。
図6は、学習フェーズでの通信データ解析部207の動作例を示す。
通信部203が通信データ219を受信すると、通信データ解析部207は、通信部203から通信データ219を取得する。そして、通信データ解析部207は、通信データ219を解析する(ステップS211)。
解析の結果、通信データ219にプロセス値220が含まれている場合(ステップS212でYES)に、通信データ解析部207は、通信データ219からプロセス値220を抽出する(ステップS213)。
通信データ解析部207は、抽出したプロセス値220をプロセス値テーブル更新部208に出力する。
解析の結果、通信データ219にプロセス値220が含まれている場合(ステップS212でYES)に、通信データ解析部207は、通信データ219からプロセス値220を抽出する(ステップS213)。
通信データ解析部207は、抽出したプロセス値220をプロセス値テーブル更新部208に出力する。
図7は、通信データ解析部207により抽出されるプロセス値220の例を示す。
図7では、メモリアドレス「0X00001」、データ属性「Analog」、データ値「100」、曜日「Day:Mon」、時間「Hour:10」及び分「Min:15」がプロセス値220として抽出されている。
メモリアドレスは、データ値の書き込み又は読み出しの対象のメモリアドレスである。データ属性は、Analog及びDigitalのいずれかである。データ属性「Analog」はデータ値がアナログ値であることを示す。データ属性「Digital」はデータ値がデジタル値であることを示す。データ値は、メモリアドレスに書き込まれる又はメモリアドレスから読み出される値である。曜日、時間及び分は、通信データ219が送信された曜日、時間及び分を示す。通信データ解析部207は、曜日、時間及び分をプロセス値220として抽出しなくてもよい。
図7に例示するプロセス値220は、学習フェーズパラメータ値に相当する。なお、通信データ解析部207が学習フェーズパラメータ値として抽出するプロセス値220は、図7のものに限らない。学習フェーズパラメータ値は攻撃検知フェーズにおいて監視対象システム500の動作状態を推定できるパラメータ値であればよい。このため、通信データ解析部207は、図7に示す以外のパラメータ値をプロセス値220(学習フェーズパラメータ値)として抽出することができる。
図7では、メモリアドレス「0X00001」、データ属性「Analog」、データ値「100」、曜日「Day:Mon」、時間「Hour:10」及び分「Min:15」がプロセス値220として抽出されている。
メモリアドレスは、データ値の書き込み又は読み出しの対象のメモリアドレスである。データ属性は、Analog及びDigitalのいずれかである。データ属性「Analog」はデータ値がアナログ値であることを示す。データ属性「Digital」はデータ値がデジタル値であることを示す。データ値は、メモリアドレスに書き込まれる又はメモリアドレスから読み出される値である。曜日、時間及び分は、通信データ219が送信された曜日、時間及び分を示す。通信データ解析部207は、曜日、時間及び分をプロセス値220として抽出しなくてもよい。
図7に例示するプロセス値220は、学習フェーズパラメータ値に相当する。なお、通信データ解析部207が学習フェーズパラメータ値として抽出するプロセス値220は、図7のものに限らない。学習フェーズパラメータ値は攻撃検知フェーズにおいて監視対象システム500の動作状態を推定できるパラメータ値であればよい。このため、通信データ解析部207は、図7に示す以外のパラメータ値をプロセス値220(学習フェーズパラメータ値)として抽出することができる。
図8は、学習フェーズでのプロセス値テーブル更新部208の動作例を示す。
プロセス値テーブル更新部208は、プロセス値テーブル214に書き込もうとしているプロセス値220がメモリアドレスとデータ値との組であるか否かを判定する(ステップS221)。
プロセス値テーブル214に書き込もうとしているプロセス値220がメモリアドレスとデータ値との組である場合(ステップS221でYES)は、処理がステップS222に進む。一方、プロセス値テーブル214に書き込もうとしているプロセス値220がメモリアドレスとデータ値との組でない場合(ステップS221でNO)は、処理がステップS224に進む。
図7の例では、プロセス値テーブル更新部208が「0x00001」と「100」との組をプロセス値テーブル214に書き込もうとしている場合は、ステップS221において「YES」と判定される。一方、プロセス値テーブル更新部208が「Mon」、「10」及び「15」のいずれかをプロセス値テーブル214に書き込もうとしている場合は、ステップS221において「NO」と判定される。
プロセス値テーブル214に書き込もうとしているプロセス値220がメモリアドレスとデータ値との組である場合(ステップS221でYES)は、処理がステップS222に進む。一方、プロセス値テーブル214に書き込もうとしているプロセス値220がメモリアドレスとデータ値との組でない場合(ステップS221でNO)は、処理がステップS224に進む。
図7の例では、プロセス値テーブル更新部208が「0x00001」と「100」との組をプロセス値テーブル214に書き込もうとしている場合は、ステップS221において「YES」と判定される。一方、プロセス値テーブル更新部208が「Mon」、「10」及び「15」のいずれかをプロセス値テーブル214に書き込もうとしている場合は、ステップS221において「NO」と判定される。
ステップS222では、プロセス値テーブル更新部208は書き込み対象のデータ値のデータ属性を判定する。
データ属性が「Analog」であれば、処理がステップS224に進む。一方、データ属性が「Digital」であれば、処理がステップS223に進む。
図7の例ではデータ値「100」のデータ属性は「Analog」であるため、処理がステップS224に進む。
データ属性が「Analog」であれば、処理がステップS224に進む。一方、データ属性が「Digital」であれば、処理がステップS223に進む。
図7の例ではデータ値「100」のデータ属性は「Analog」であるため、処理がステップS224に進む。
ステップS223では、学習部210が機械学習しやすいように、プロセス値テーブル更新部208は、データ属性が「Digital」であるデータ値をエンコードする。例えば、プロセス値テーブル更新部208は、ワンホットエンコードによりデータ値をエンコードする。
ステップS224では、プロセス値テーブル更新部208は、プロセス値220をプロセス値テーブル214に書き込む。
プロセス値テーブル更新部208は、データ属性が「Digital」であるデータ値については、ステップS223でのエンコード後のデータ値を、メモリアドレスと対応付けてプロセス値テーブル214に書き込む。
プロセス値テーブル更新部208は、データ属性が「Analog」であるデータ値については、通信データ解析部207から取得したデータ値を、メモリアドレスと対応付けてプロセス値テーブル214に書き込む。
なお、プロセス値テーブル214において同じメモリアドレスに対応付けて既にデータ値が書き込まれている場合は、プロセス値テーブル更新部208は新たなデータ値を上書きする。例えば、メモリアドレス「0X00001」に対応付けてデータ値「80」がプロセス値テーブル214に書き込まれているとする。この場合に、図7に示すプロセス値220が通信部203により取得されたものとする。プロセス値テーブル更新部208は、プロセス値テーブル214のメモリアドレス「0X00001」に対するデータ値を「80」から「100」に書き換える。
また、プロセス値テーブル更新部208は、曜日(Day)、時間(Hour)及び秒(Min)もプロセス値テーブル214に書き込む。
曜日(Day)、時間(Hour)及び秒(Min)が既にプロセス値テーブル214に書き込まれている場合も、プロセス値テーブル更新部208は、新たな値に上書きする。
プロセス値テーブル更新部208は、データ属性が「Digital」であるデータ値については、ステップS223でのエンコード後のデータ値を、メモリアドレスと対応付けてプロセス値テーブル214に書き込む。
プロセス値テーブル更新部208は、データ属性が「Analog」であるデータ値については、通信データ解析部207から取得したデータ値を、メモリアドレスと対応付けてプロセス値テーブル214に書き込む。
なお、プロセス値テーブル214において同じメモリアドレスに対応付けて既にデータ値が書き込まれている場合は、プロセス値テーブル更新部208は新たなデータ値を上書きする。例えば、メモリアドレス「0X00001」に対応付けてデータ値「80」がプロセス値テーブル214に書き込まれているとする。この場合に、図7に示すプロセス値220が通信部203により取得されたものとする。プロセス値テーブル更新部208は、プロセス値テーブル214のメモリアドレス「0X00001」に対するデータ値を「80」から「100」に書き換える。
また、プロセス値テーブル更新部208は、曜日(Day)、時間(Hour)及び秒(Min)もプロセス値テーブル214に書き込む。
曜日(Day)、時間(Hour)及び秒(Min)が既にプロセス値テーブル214に書き込まれている場合も、プロセス値テーブル更新部208は、新たな値に上書きする。
図9は、プロセス値テーブル214の例を示す。
図9において、「A00001」のように「A」で始まる項目はアナログ値のメモリアドレスを意味する。つまり、「A00001」は図7の「0X00001」に相当する。「D00001_OFF」のように「D」で始まる項目はデジタル値のメモリアドレスを意味する。「Tday」のように「T」で始まる項目は時間の単位を意味する。つまり、「Tday」は図7の「Day」に相当する。「Thour」は図7の「Hour」に相当する。「Tminute」は図7の「Min」に相当する。
図9において、「A00001」のように「A」で始まる項目はアナログ値のメモリアドレスを意味する。つまり、「A00001」は図7の「0X00001」に相当する。「D00001_OFF」のように「D」で始まる項目はデジタル値のメモリアドレスを意味する。「Tday」のように「T」で始まる項目は時間の単位を意味する。つまり、「Tday」は図7の「Day」に相当する。「Thour」は図7の「Hour」に相当する。「Tminute」は図7の「Min」に相当する。
図10は、学習部210の動作例を示す。
先ず、学習部210は、通信データ検知部209から学習の実施を指示されたか否かを判定する(ステップS231)。学習部210は、通信データ検知部209からプロセス値テーブル214を取得した場合に通信データ検知部209から学習の実施を指示されたと判定する。
通信データ検知部209から学習の実施を指示されている場合は処理がステップS232に進む。
通信データ検知部209から学習の実施を指示されている場合は処理がステップS232に進む。
ステップS232では、学習部210は学習を実施して学習モデル215を生成する。
より具体的には、学習部210は、状態入力部204から学習フェーズ動作状態値221を取得する。そして、学習部210は、通信データ検知部209から取得したプロセス値テーブル214に含まれるプロセス値220と学習フェーズ動作状態値221とを用いた学習を行う。
より具体的には、学習部210は、状態入力部204から学習フェーズ動作状態値221を取得する。そして、学習部210は、通信データ検知部209から取得したプロセス値テーブル214に含まれるプロセス値220と学習フェーズ動作状態値221とを用いた学習を行う。
図11は、学習部210で行われる学習手順の概要を示す。
学習部210は、プロセス値テーブル214の各プロセス値220を入力ノードとして用いる。そして、学習部210は、状態入力部204から取得した学習フェーズ動作状態値221を教師として用いて、状態推定のための学習モデル215を生成する。
図11は、ニューラルネットワークに基づく学習の例を示す。学習部210は、他の学習手法(サポートベクタマシン等)によって学習を行ってもよい。
学習部210は、プロセス値テーブル214の各プロセス値220を入力ノードとして用いる。そして、学習部210は、状態入力部204から取得した学習フェーズ動作状態値221を教師として用いて、状態推定のための学習モデル215を生成する。
図11は、ニューラルネットワークに基づく学習の例を示す。学習部210は、他の学習手法(サポートベクタマシン等)によって学習を行ってもよい。
図12は、検知ルール生成部211の動作例を示す。
先ず、検知ルール生成部211は、通信部203から通信データ219を取得し、取得した通信データ219を解析する(ステップS241)。
検知ルール生成部211は、通信データ219の解析により、通信データ219から検知ルール216の生成に用いるパラメータ値を抽出する。より具体的には、検知ルール生成部211は、検知ルール216の生成に用いるパラメータ値として、プロセス値220とプロセス値220以外の特定のパラメータ値を抽出する。例えば、検知ルール生成部211は、通信データ219の送信元アドレスを抽出する。また、例えば、検知ルール生成部211は、通信データ219の送信先アドレスを抽出する。また、例えば、検知ルール生成部211は、通信データ219で通知されている制御コマンドを抽出する。
これらの検知ルール生成部211が抽出するプロセス値220以外の特定のパラメータ値は学習フェーズ追加パラメータ値に相当する。
検知ルール生成部211は、通信データ219の解析により、通信データ219から検知ルール216の生成に用いるパラメータ値を抽出する。より具体的には、検知ルール生成部211は、検知ルール216の生成に用いるパラメータ値として、プロセス値220とプロセス値220以外の特定のパラメータ値を抽出する。例えば、検知ルール生成部211は、通信データ219の送信元アドレスを抽出する。また、例えば、検知ルール生成部211は、通信データ219の送信先アドレスを抽出する。また、例えば、検知ルール生成部211は、通信データ219で通知されている制御コマンドを抽出する。
これらの検知ルール生成部211が抽出するプロセス値220以外の特定のパラメータ値は学習フェーズ追加パラメータ値に相当する。
次に、検知ルール生成部211は検知ルール216を生成する。
より具体的には、検知ルール生成部211は、状態入力部204から学習フェーズ動作状態値221を取得する。そして、検知ルール生成部211は、ステップS241で抽出したパラメータ値と学習フェーズ動作状態値221とを用いて、検知ルール216を生成する。
より具体的には、検知ルール生成部211は、状態入力部204から学習フェーズ動作状態値221を取得する。そして、検知ルール生成部211は、ステップS241で抽出したパラメータ値と学習フェーズ動作状態値221とを用いて、検知ルール216を生成する。
図13は、検知ルール生成部211が生成する検知ルール216の例を示す。
図13において、「ルールNo.」には、ルールごとの識別番号が示される。
「動作状態」には、学習フェーズ動作状態が示される。検知ルール生成部211は、学習フェーズ動作状態値221から学習フェーズ動作状態を判別する。
「送信元アドレス」には、ステップS241で抽出された送信元アドレスが示される。
「送信先アドレス」には、ステップS241で抽出された送信先アドレスが示される。
「制御コマンド」には、ステップS241で抽出された制御コマンドが示される。
「アドレス」には、ステップS241で抽出されたメモリアドレスが示される。
「データ設定範囲」には、これまで通信データ219から抽出されたデータ値の最小値から最大値の範囲が示される。
図13において、「ルールNo.」には、ルールごとの識別番号が示される。
「動作状態」には、学習フェーズ動作状態が示される。検知ルール生成部211は、学習フェーズ動作状態値221から学習フェーズ動作状態を判別する。
「送信元アドレス」には、ステップS241で抽出された送信元アドレスが示される。
「送信先アドレス」には、ステップS241で抽出された送信先アドレスが示される。
「制御コマンド」には、ステップS241で抽出された制御コマンドが示される。
「アドレス」には、ステップS241で抽出されたメモリアドレスが示される。
「データ設定範囲」には、これまで通信データ219から抽出されたデータ値の最小値から最大値の範囲が示される。
例えば、図7に示すプロセス値220が含まれる通信データ219(以下、最新通信データ219という)に「送信元アドレス」として「192.168.0.10」が記載されているものとする。また、最新通信データ219に「送信先アドレス」として「192.168.0.20」が記載されているものとする。また、最新通信データ219に「制御コマンド」として「アナログ書き込み」が記載されているものとする。更に、最新通信データ219の受信前の検知ルール216(図13)の「ルールNo.1」の「データ設定範囲」として「0-80」が記載されているものとする。
最新通信データ219が通信部203により受信されると、監視対象システム500の動作状態として状態入力部204により「停止」に相当する学習フェーズ動作状態値221が取得されたものとする。
この場合に、検知ルール生成部211は、「ルールNo.1」の「データ設定範囲」を、最新通信データ219のデータ値が含まれるように、「0-80」から「0-100」に変更する。
最新通信データ219が通信部203により受信されると、監視対象システム500の動作状態として状態入力部204により「停止」に相当する学習フェーズ動作状態値221が取得されたものとする。
この場合に、検知ルール生成部211は、「ルールNo.1」の「データ設定範囲」を、最新通信データ219のデータ値が含まれるように、「0-80」から「0-100」に変更する。
図13に示す値以外の値が検知ルール216に含まれていてもよい。例えば、図7に示す曜日(Day)、時間(Hour)及び分(Min)が検知ルール216に含まれていてもよい。
次に、攻撃検知フェーズでの侵入検知装置200の動作例を説明する。
通信データ解析部207は攻撃検知フェーズでも図6に示す動作を行う。
また、プロセス値テーブル更新部208も攻撃検知フェーズでも図8に示す動作を行う。
攻撃検知フェーズでは、通信データ解析部207とプロセス値テーブル更新部208は、学習フェーズ通信データではなく攻撃フェーズ通信データを扱う。
通信データ解析部207は攻撃検知フェーズでも図6に示す動作を行う。
また、プロセス値テーブル更新部208も攻撃検知フェーズでも図8に示す動作を行う。
攻撃検知フェーズでは、通信データ解析部207とプロセス値テーブル更新部208は、学習フェーズ通信データではなく攻撃フェーズ通信データを扱う。
図14は、状態推定部212の動作例を示す。
先ず、状態推定部212は、通信データ検知部209から状態推定の実施を指示されたか否かを判定する(ステップS251)。状態推定部212は、通信データ検知部209からプロセス値テーブル214を取得した場合に通信データ検知部209から状態推定の実施を指示されたと判定する。
通信データ検知部209から状態推定の実施を指示されている場合は処理がステップS252に進む。
通信データ検知部209から状態推定の実施を指示されている場合は処理がステップS252に進む。
ステップS252では、状態推定部212は監視対象システム500の現在の監視対象システム500の状態(攻撃検知フェーズ動作状態222)を推定する。
より具体的には、状態推定部212は、記憶部202から学習モデル215を取得する。そして、状態推定部212は、通信データ検知部209から取得したプロセス値テーブル214に含まれるプロセス値220と学習モデル215とを用いて監視対象システム500の現在の状態を推定する。
より具体的には、状態推定部212は、記憶部202から学習モデル215を取得する。そして、状態推定部212は、通信データ検知部209から取得したプロセス値テーブル214に含まれるプロセス値220と学習モデル215とを用いて監視対象システム500の現在の状態を推定する。
図15は、状態推定部212で行われる状態推定手順の概要を示す。
状態推定部212は、プロセス値テーブル214の各プロセス値220を入力ノードとして用いる。そして、状態推定部212は、学習モデル215を用いて、攻撃検知フェーズ動作状態222を推定する。
図15は、ニューラルネットワークに基づく状態推定の例を示す。状態推定部212は、他の状態推定手法(サポートベクタマシン等)によって状態推定を行ってもよい。
状態推定部212は、プロセス値テーブル214の各プロセス値220を入力ノードとして用いる。そして、状態推定部212は、学習モデル215を用いて、攻撃検知フェーズ動作状態222を推定する。
図15は、ニューラルネットワークに基づく状態推定の例を示す。状態推定部212は、他の状態推定手法(サポートベクタマシン等)によって状態推定を行ってもよい。
図16は、攻撃検知部213の動作例を示す。
先ず、攻撃検知部213は、通信部203から通信データ219(攻撃フェーズ通信データ)を取得し、取得した通信データ219を解析する(ステップS261)。
攻撃検知部213は、通信データ219の解析により、通信データ219から検知ルール216との比較に用いるパラメータ値を抽出する。より具体的には、攻撃検知部213は、検知ルール216に記載されているパラメータ値を抽出する。つまり、攻撃検知部213は、通信データ219の送信元アドレスを抽出する。また、攻撃検知部213は、通信データ219の送信先アドレスを抽出する。また、攻撃検知部213は、通信データ219で通知されている制御コマンドを抽出する。更に、攻撃検知部213は、通信データ219に示されるメモリアドレスとデータ値を抽出する。
なお、攻撃検知部213が抽出する送信元アドレス、送信先アドレス及び制御コマンドは攻撃検知フェーズ追加パラメータ値に相当する。
攻撃検知部213は、通信データ219の解析により、通信データ219から検知ルール216との比較に用いるパラメータ値を抽出する。より具体的には、攻撃検知部213は、検知ルール216に記載されているパラメータ値を抽出する。つまり、攻撃検知部213は、通信データ219の送信元アドレスを抽出する。また、攻撃検知部213は、通信データ219の送信先アドレスを抽出する。また、攻撃検知部213は、通信データ219で通知されている制御コマンドを抽出する。更に、攻撃検知部213は、通信データ219に示されるメモリアドレスとデータ値を抽出する。
なお、攻撃検知部213が抽出する送信元アドレス、送信先アドレス及び制御コマンドは攻撃検知フェーズ追加パラメータ値に相当する。
次に、攻撃検知部213は、ステップ261で抽出したパラメータ値と攻撃検知フェーズ動作状態222との組と検知ルール216のパラメータ値と動作状態との組とを比較する。つまり、攻撃検知部213は、攻撃検知フェーズ動作状態222と一致する動作状態が記載され、ステップ261で抽出したパラメータ値に一致するパラメータ値が記載されているルールがあるか否かを判定する。
そして、該当するルールがある場合(ステップS263でYES)に、攻撃検知部213は、「検知結果(正常)」を結果出力部205を介して出力する(ステップS265)。
一方、該当するルールがない場合(ステップS263でNO、ステップS264でYES)に、攻撃検知部213は、「検知結果(異常)」を結果出力部205を介して出力する(ステップS266)。
「検知結果(正常)」は監視対象システム500に攻撃が発生していないことを通知する検知結果である。一方、「検知結果(異常)」は監視対象システム500に攻撃が発生していることを通知する検知結果である。
一方、該当するルールがない場合(ステップS263でNO、ステップS264でYES)に、攻撃検知部213は、「検知結果(異常)」を結果出力部205を介して出力する(ステップS266)。
「検知結果(正常)」は監視対象システム500に攻撃が発生していないことを通知する検知結果である。一方、「検知結果(異常)」は監視対象システム500に攻撃が発生していることを通知する検知結果である。
ユーザは、「検知結果(異常)」の出力により攻撃への対策をとることができる。
***実施の形態の効果の説明***
本実施の形態によれば、ユーザが監視対象システムの動作状態を見極める必要がない。
また、本実施の形態によれば、監視対象システムの動作状態が変化する度にユーザが監視対象システムの動作状態を入力する必要がない。
更に、本実施の形態によれば、監視対象システムの動作状態を正しく推定することができ、この結果、監視対象システムへの攻撃を正しく検知することができる。
本実施の形態によれば、ユーザが監視対象システムの動作状態を見極める必要がない。
また、本実施の形態によれば、監視対象システムの動作状態が変化する度にユーザが監視対象システムの動作状態を入力する必要がない。
更に、本実施の形態によれば、監視対象システムの動作状態を正しく推定することができ、この結果、監視対象システムへの攻撃を正しく検知することができる。
実施の形態2.
本実施の形態では、主に実施の形態1との差異を説明する。
なお、以下で説明していない事項は、実施の形態1と同様である。
本実施の形態では、主に実施の形態1との差異を説明する。
なお、以下で説明していない事項は、実施の形態1と同様である。
***構成の説明***
図17は、本実施の形態に係る侵入検知装置200の機能構成例を示す。
図17では、図3に示された通信データ検知部209の代わりに、学習判定部223が存在する。
学習判定部223以外の機能要素は図1に示されたものと同じである。
なお、本実施の形態では、図18に示すように、通信部203は、通信データ219を取得する度に、取得した通信データ219を通信データ解析部207、学習判定部223及び検知ルール生成部211に出力する。
また、通信データ解析部207は、通信部203により通信データ219が取得される度に、実施の形態1と同様に、取得された通信データ219からプロセス値220を抽出する。そして、通信データ解析部207は、抽出したプロセス値220を用いてプロセス値テーブル214を変更する。本実施の形態では、通信データ解析部207は、変更前のプロセス値テーブル214を変更後のプロセス値テーブル214で上書きしない。つまり、本実施の形態では、一時的に、変更前のプロセス値テーブル214と変更後のプロセス値テーブル214とが併存する。
図17は、本実施の形態に係る侵入検知装置200の機能構成例を示す。
図17では、図3に示された通信データ検知部209の代わりに、学習判定部223が存在する。
学習判定部223以外の機能要素は図1に示されたものと同じである。
なお、本実施の形態では、図18に示すように、通信部203は、通信データ219を取得する度に、取得した通信データ219を通信データ解析部207、学習判定部223及び検知ルール生成部211に出力する。
また、通信データ解析部207は、通信部203により通信データ219が取得される度に、実施の形態1と同様に、取得された通信データ219からプロセス値220を抽出する。そして、通信データ解析部207は、抽出したプロセス値220を用いてプロセス値テーブル214を変更する。本実施の形態では、通信データ解析部207は、変更前のプロセス値テーブル214を変更後のプロセス値テーブル214で上書きしない。つまり、本実施の形態では、一時的に、変更前のプロセス値テーブル214と変更後のプロセス値テーブル214とが併存する。
学習判定部223は、通信部203により新たな通信データ219が取得された際に、新たな通信データ219に含まれるプロセス値220(新たなプロセス値220という)を用いた学習が学習部210により行われた場合に、学習部210により以前に生成された学習モデル215と異なる新たな学習モデル215が生成されるか否かを判定する。そして、学習判定部223は、新たな学習モデル215が生成されると判定した場合にのみ、学習部210に新たなプロセス値220を用いた学習を実施させる。つまり、学習判定部223は、新たな学習モデル215が生成されると判定した場合にのみ、学習部210に新たなプロセス値220を用いた学習の実施を指示する。学習判定部223は、学習部210に学習の実施を指示する場合には、学習部210に変更後のプロセス値テーブル214を出力する。
より具体的には、学習判定部223は、変更前のプロセス値テーブル214と変更後のプロセス値テーブル214とを比較する。そして、変更前のプロセス値テーブル214と変更後のプロセス値テーブル214に差分がある場合には、学習判定部223は新たな学習モデル215が生成されると判定する。一方、変更前のプロセス値テーブル214と変更後のプロセス値テーブル214に差異がない場合には、学習判定部223は新たな学習モデル215が生成されないと判定する。
学習判定部223の機能は、通信部203等と同様にプログラムにより実現される。そして、学習判定部223の機能を実現するプログラムがプロセッサ911により実行される。
より具体的には、学習判定部223は、変更前のプロセス値テーブル214と変更後のプロセス値テーブル214とを比較する。そして、変更前のプロセス値テーブル214と変更後のプロセス値テーブル214に差分がある場合には、学習判定部223は新たな学習モデル215が生成されると判定する。一方、変更前のプロセス値テーブル214と変更後のプロセス値テーブル214に差異がない場合には、学習判定部223は新たな学習モデル215が生成されないと判定する。
学習判定部223の機能は、通信部203等と同様にプログラムにより実現される。そして、学習判定部223の機能を実現するプログラムがプロセッサ911により実行される。
***動作の説明***
図19は、学習判定部223の動作例を示す。
図19は、学習判定部223の動作例を示す。
先ず、学習判定部223は、変更前のプロセス値テーブル214と変更後のプロセス値テーブル214とを比較する(ステップS271)。
そして、変更前のプロセス値テーブル214と変更後のプロセス値テーブル214との間に差分がある場合(ステップS272でYES)に、学習判定部223は、変更前のプロセス値テーブル214を変更後のプロセス値テーブル214で更新する。つまり、変更前のプロセス値テーブル214を記憶部202から消去し、変更後のプロセス値テーブル214のみを記憶部202に残す。
そして、学習判定部223は、変更後のプロセス値テーブル214を学習部210に出力して、学習部210に学習の実施を指示する(ステップS274)。つまり、学習判定部223は、新たなプロセス値220を用いた学習の実施を学習部210に指示する。
そして、学習判定部223は、変更後のプロセス値テーブル214を学習部210に出力して、学習部210に学習の実施を指示する(ステップS274)。つまり、学習判定部223は、新たなプロセス値220を用いた学習の実施を学習部210に指示する。
一方、変更前のプロセス値テーブル214と変更後のプロセス値テーブル214との間に差分がない場合(ステップS272でNO)は、変更後のプロセス値テーブル214を記憶部202から消去する(ステップS275)。つまり、学習判定部223は、新たなプロセス値220を用いた学習の実施を学習部210に指示しない。
***実施の形態の効果の説明***
本実施の形態によれば、新たな学習結果が得られない場合には学習を実施しないことで、無駄な学習を排除することができる。
本実施の形態によれば、新たな学習結果が得られない場合には学習を実施しないことで、無駄な学習を排除することができる。
以上、実施の形態1及び2を説明したが、これら2つの実施の形態を組み合わせて実施しても構わない。
あるいは、これら2つの実施の形態のうち、1つを部分的に実施しても構わない。
あるいは、これら2つの実施の形態を部分的に組み合わせて実施しても構わない。
また、これら2つの実施の形態に記載された構成及び手順を必要に応じて変更してもよい。
あるいは、これら2つの実施の形態のうち、1つを部分的に実施しても構わない。
あるいは、これら2つの実施の形態を部分的に組み合わせて実施しても構わない。
また、これら2つの実施の形態に記載された構成及び手順を必要に応じて変更してもよい。
***ハードウェア構成の補足説明***
最後に、侵入検知装置200のハードウェア構成の補足説明を行う。
図2に示すプロセッサ901は、プロセッシングを行うIC(Integrated Circuit)である。
プロセッサ901は、CPU(Central Processing Unit)、DSP(Digital Signal Processor)等である。
図2に示す主記憶装置902は、RAM(Random Access Memory)である。
図2に示す補助記憶装置903は、ROM(Read Only Memory)、フラッシュメモリ、HDD(Hard Disk Drive)等である。
図2に示す通信装置904は、データの通信処理を実行する電子回路である。
通信装置904は、例えば、通信チップ又はNIC(Network Interface Card)である。
最後に、侵入検知装置200のハードウェア構成の補足説明を行う。
図2に示すプロセッサ901は、プロセッシングを行うIC(Integrated Circuit)である。
プロセッサ901は、CPU(Central Processing Unit)、DSP(Digital Signal Processor)等である。
図2に示す主記憶装置902は、RAM(Random Access Memory)である。
図2に示す補助記憶装置903は、ROM(Read Only Memory)、フラッシュメモリ、HDD(Hard Disk Drive)等である。
図2に示す通信装置904は、データの通信処理を実行する電子回路である。
通信装置904は、例えば、通信チップ又はNIC(Network Interface Card)である。
また、補助記憶装置903には、OS(Operating System)も記憶されている。
そして、OSの少なくとも一部がプロセッサ901により実行される。
プロセッサ901はOSの少なくとも一部を実行しながら、処理部201、記憶部202、通信部203、状態入力部204及び結果出力部205の機能を実現するプログラムを実行する。
プロセッサ901がOSを実行することで、タスク管理、メモリ管理、ファイル管理、通信制御等が行われる。
また、処理部201、記憶部202、通信部203、状態入力部204及び結果出力部205の処理の結果を示す情報、データ、信号値及び変数値の少なくともいずれかが、主記憶装置902、補助記憶装置903、プロセッサ901内のレジスタ及びキャッシュメモリの少なくともいずれかに記憶される。
また、処理部201、記憶部202、通信部203、状態入力部204及び結果出力部205の機能を実現するプログラムは、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVD等の可搬記録媒体に格納されていてもよい。そして、処理部201、記憶部202、通信部203、状態入力部204及び結果出力部205の機能を実現するプログラムが格納された可搬記録媒体を流通させてもよい。
そして、OSの少なくとも一部がプロセッサ901により実行される。
プロセッサ901はOSの少なくとも一部を実行しながら、処理部201、記憶部202、通信部203、状態入力部204及び結果出力部205の機能を実現するプログラムを実行する。
プロセッサ901がOSを実行することで、タスク管理、メモリ管理、ファイル管理、通信制御等が行われる。
また、処理部201、記憶部202、通信部203、状態入力部204及び結果出力部205の処理の結果を示す情報、データ、信号値及び変数値の少なくともいずれかが、主記憶装置902、補助記憶装置903、プロセッサ901内のレジスタ及びキャッシュメモリの少なくともいずれかに記憶される。
また、処理部201、記憶部202、通信部203、状態入力部204及び結果出力部205の機能を実現するプログラムは、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVD等の可搬記録媒体に格納されていてもよい。そして、処理部201、記憶部202、通信部203、状態入力部204及び結果出力部205の機能を実現するプログラムが格納された可搬記録媒体を流通させてもよい。
また、処理部201、記憶部202、通信部203、状態入力部204及び結果出力部205の少なくともいずれかの「部」を、「回路」又は「工程」又は「手順」又は「処理」又は「サーキットリー」に読み替えてもよい。
また、侵入検知装置200は、処理回路により実現されてもよい。処理回路は、例えば、ロジックIC(Integrated Circuit)、GA(Gate Array)、ASIC(Application Specific Integrated Circuit)、FPGA(Field-Programmable Gate Array)である。
処理部201、記憶部202、通信部203、状態入力部204及び結果出力部205は、それぞれ処理回路の一部として実現される。
なお、本明細書では、プロセッサと処理回路との上位概念を、「プロセッシングサーキットリー」という。
つまり、プロセッサと処理回路とは、それぞれ「プロセッシングサーキットリー」の具体例である。
また、侵入検知装置200は、処理回路により実現されてもよい。処理回路は、例えば、ロジックIC(Integrated Circuit)、GA(Gate Array)、ASIC(Application Specific Integrated Circuit)、FPGA(Field-Programmable Gate Array)である。
処理部201、記憶部202、通信部203、状態入力部204及び結果出力部205は、それぞれ処理回路の一部として実現される。
なお、本明細書では、プロセッサと処理回路との上位概念を、「プロセッシングサーキットリー」という。
つまり、プロセッサと処理回路とは、それぞれ「プロセッシングサーキットリー」の具体例である。
100 ネットワーク、200 侵入検知装置、201 処理部、202 記憶部、203 通信部、204 状態入力部、205 結果出力部、207 通信データ解析部、208 プロセス値テーブル更新部、209 通信データ検知部、210 学習部、211 検知ルール生成部、212 状態推定部、213 攻撃検知部、214 プロセス値テーブル、215 学習モデル、216 検知ルール、217 検知結果、219 通信データ、220 プロセス値、221 学習フェーズ動作状態値、222 攻撃検知フェーズ動作状態、223 学習判定部、300 被制御装置、400 制御装置、500 監視対象システム、901 プロセッサ、902 主記憶装置、903 補助記憶装置、904 通信装置、905 入出力装置。
Claims (6)
- 攻撃検知フェーズにおいて攻撃検知のために監視される監視対象システムで通信される、前記監視対象システムの動作状態を推定可能なパラメータ値が含まれる通信データを、前記攻撃検知フェーズに先立つ学習フェーズにおいて、学習フェーズ通信データとして取得する通信データ取得部と、
前記学習フェーズにおいて、前記学習フェーズ通信データの通信時の前記監視対象システムの動作状態である学習フェーズ動作状態を示す学習フェーズ動作状態値を取得する学習フェーズ動作状態値取得部と、
前記学習フェーズにおいて、前記学習フェーズ通信データに含まれるパラメータ値である学習フェーズパラメータ値と前記学習フェーズ動作状態値とを用いた学習を行い、前記攻撃検知フェーズにおいて前記監視対象システムで通信される通信データである攻撃検知フェーズ通信データに含まれるパラメータ値である攻撃検知フェーズパラメータ値から前記攻撃検知フェーズ通信データの通信時の前記監視対象システムの動作状態である攻撃検知フェーズ動作状態を推定するための状態推定モデルを生成するモデル生成部と、
前記学習フェーズパラメータ値と前記学習フェーズ動作状態値とを含み、前記学習フェーズパラメータ値と前記攻撃検知フェーズパラメータ値との比較と、前記学習フェーズ動作状態値に示される前記学習フェーズ動作状態と前記攻撃検知フェーズ動作状態との比較とにより前記攻撃検知フェーズにおいて前記監視対象システムへの攻撃を検知するための検知ルールを、前記学習フェーズにおいて生成する検知ルール生成部とを有するデータ処理装置。 - 前記学習フェーズ通信データには、前記学習フェーズパラメータ値以外のパラメータ値が学習フェーズ追加パラメータ値として含まれ、
前記攻撃検知フェーズ通信データには、前記学習フェーズ追加パラメータ値に対応するパラメータ値が攻撃検知フェーズ追加パラメータ値として含まれており、
前記検知ルール生成部は、
前記学習フェーズ追加パラメータ値を含み、前記学習フェーズ追加パラメータ値と前記攻撃検知フェーズ追加パラメータ値との比較により前記攻撃検知フェーズにおいて前記監視対象システムへの攻撃を検知するための検知ルールを生成する請求項1に記載のデータ処理装置。 - 前記通信データ取得部は、
前記攻撃検知フェーズにおいて、前記攻撃検知フェーズ通信データを取得し、
前記データ処理装置は、更に、
前記攻撃検知フェーズにおいて、前記攻撃検知フェーズパラメータ値と前記状態推定モデルとを用いて前記攻撃検知フェーズ動作状態を推定する状態推定部と、
前記攻撃検知フェーズにおいて、前記検知ルールに含まれる前記学習フェーズパラメータ値と前記攻撃検知フェーズパラメータ値とを比較し、前記検知ルールに含まれる前記学習フェーズ動作状態値に示される前記学習フェーズ動作状態と前記状態推定部により推定された前記攻撃検知フェーズ動作状態とを比較して、前記監視対象システムへの攻撃を検知する攻撃検知部とを有する請求項1に記載のデータ処理装置。 - 前記学習フェーズ通信データには、前記学習フェーズパラメータ値以外のパラメータ値が学習フェーズ追加パラメータ値として含まれ、
前記攻撃検知フェーズ通信データには、前記学習フェーズ追加パラメータ値に対応するパラメータ値が攻撃検知フェーズ追加パラメータ値として含まれ、
前記検知ルールには、前記学習フェーズ追加パラメータ値が含まれており、
前記攻撃検知部は、
前記攻撃検知フェーズにおいて、前記検知ルールに含まれる前記学習フェーズ追加パラメータ値と前記攻撃検知フェーズ追加パラメータ値とを比較して、前記監視対象システムへの攻撃を検知する請求項3に記載のデータ処理装置。 - 攻撃検知フェーズにおいて攻撃検知のために監視される監視対象システムで通信される、前記監視対象システムの動作状態を推定可能なパラメータ値が含まれる通信データを、前記攻撃検知フェーズに先立つ学習フェーズにおいて、コンピュータが、学習フェーズ通信データとして取得し、
前記コンピュータが、前記学習フェーズにおいて、前記学習フェーズ通信データの通信時の前記監視対象システムの動作状態である学習フェーズ動作状態を示す学習フェーズ動作状態値を取得し、
前記コンピュータが、前記学習フェーズにおいて、前記学習フェーズ通信データに含まれるパラメータ値である学習フェーズパラメータ値と前記学習フェーズ動作状態値とを用いた学習を行い、前記攻撃検知フェーズにおいて前記監視対象システムで通信される通信データである攻撃検知フェーズ通信データに含まれるパラメータ値である攻撃検知フェーズパラメータ値から前記攻撃検知フェーズ通信データの通信時の前記監視対象システムの動作状態である攻撃検知フェーズ動作状態を推定するための状態推定モデルを生成し、
前記コンピュータが、前記学習フェーズパラメータ値と前記学習フェーズ動作状態値とを含み、前記学習フェーズパラメータ値と前記攻撃検知フェーズパラメータ値との比較と、前記学習フェーズ動作状態値に示される前記学習フェーズ動作状態と前記攻撃検知フェーズ動作状態との比較とにより前記攻撃検知フェーズにおいて前記監視対象システムへの攻撃を検知するための検知ルールを、前記学習フェーズにおいて生成するデータ処理方法。 - 攻撃検知フェーズにおいて攻撃検知のために監視される監視対象システムで通信される、前記監視対象システムの動作状態を推定可能なパラメータ値が含まれる通信データを、前記攻撃検知フェーズに先立つ学習フェーズにおいて、学習フェーズ通信データとして取得する通信データ取得処理と、
前記学習フェーズにおいて、前記学習フェーズ通信データの通信時の前記監視対象システムの動作状態である学習フェーズ動作状態を示す学習フェーズ動作状態値を取得する学習フェーズ動作状態値取得処理と、
前記学習フェーズにおいて、前記学習フェーズ通信データに含まれるパラメータ値である学習フェーズパラメータ値と前記学習フェーズ動作状態値とを用いた学習を行い、前記攻撃検知フェーズにおいて前記監視対象システムで通信される通信データである攻撃検知フェーズ通信データに含まれるパラメータ値である攻撃検知フェーズパラメータ値から前記攻撃検知フェーズ通信データの通信時の前記監視対象システムの動作状態である攻撃検知フェーズ動作状態を推定するための状態推定モデルを生成するモデル生成処理と、
前記学習フェーズパラメータ値と前記学習フェーズ動作状態値とを含み、前記学習フェーズパラメータ値と前記攻撃検知フェーズパラメータ値との比較と、前記学習フェーズ動作状態値に示される前記学習フェーズ動作状態と前記攻撃検知フェーズ動作状態との比較とにより前記攻撃検知フェーズにおいて前記監視対象システムへの攻撃を検知するための検知ルールを、前記学習フェーズにおいて生成する検知ルール生成処理とをコンピュータに実行させるデータ処理プログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2023/001858 WO2024157310A1 (ja) | 2023-01-23 | 2023-01-23 | データ処理装置、データ処理方法及びデータ処理プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP7325695B1 true JP7325695B1 (ja) | 2023-08-14 |
Family
ID=87563138
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2023529876A Active JP7325695B1 (ja) | 2023-01-23 | 2023-01-23 | データ処理装置、データ処理方法及びデータ処理プログラム |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP7325695B1 (ja) |
| WO (1) | WO2024157310A1 (ja) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH07234988A (ja) * | 1994-02-23 | 1995-09-05 | Mitsubishi Heavy Ind Ltd | 異常診断装置 |
| WO2017221373A1 (ja) * | 2016-06-23 | 2017-12-28 | 三菱電機株式会社 | 侵入検知装置および侵入検知プログラム |
| WO2018083913A1 (ja) * | 2016-11-01 | 2018-05-11 | 日本電信電話株式会社 | 不正侵入防止装置、不正侵入防止方法および不正侵入防止プログラム |
| WO2018134939A1 (ja) * | 2017-01-19 | 2018-07-26 | 三菱電機株式会社 | 攻撃検知装置、攻撃検知方法および攻撃検知プログラム |
| WO2020261875A1 (ja) * | 2019-06-28 | 2020-12-30 | 住友重機械工業株式会社 | 予測システム |
| JP7170945B2 (ja) * | 2020-07-17 | 2022-11-14 | 三菱電機株式会社 | 通信許可リスト生成装置、通信許可リスト生成方法、及び、プログラム |
-
2023
- 2023-01-23 WO PCT/JP2023/001858 patent/WO2024157310A1/ja unknown
- 2023-01-23 JP JP2023529876A patent/JP7325695B1/ja active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH07234988A (ja) * | 1994-02-23 | 1995-09-05 | Mitsubishi Heavy Ind Ltd | 異常診断装置 |
| WO2017221373A1 (ja) * | 2016-06-23 | 2017-12-28 | 三菱電機株式会社 | 侵入検知装置および侵入検知プログラム |
| WO2018083913A1 (ja) * | 2016-11-01 | 2018-05-11 | 日本電信電話株式会社 | 不正侵入防止装置、不正侵入防止方法および不正侵入防止プログラム |
| WO2018134939A1 (ja) * | 2017-01-19 | 2018-07-26 | 三菱電機株式会社 | 攻撃検知装置、攻撃検知方法および攻撃検知プログラム |
| WO2020261875A1 (ja) * | 2019-06-28 | 2020-12-30 | 住友重機械工業株式会社 | 予測システム |
| JP7170945B2 (ja) * | 2020-07-17 | 2022-11-14 | 三菱電機株式会社 | 通信許可リスト生成装置、通信許可リスト生成方法、及び、プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2024157310A1 (ja) | 2024-08-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2019200046B2 (en) | Utilizing artificial intelligence to test cloud applications | |
| US8494996B2 (en) | Creation and revision of network object graph topology for a network performance management system | |
| US11263266B2 (en) | Traffic anomaly sensing device, traffic anomaly sensing method, and traffic anomaly sensing program | |
| US9092586B1 (en) | Version management mechanism for fluid guard ring PCells | |
| US20230362182A1 (en) | Abnormality sensing device and abnormality sensing method | |
| US20070073907A1 (en) | Device, method and computer program product readable medium for determining the identity of a component | |
| CN109726066B (zh) | 用于标识存储系统中的问题部件的方法和设备 | |
| US20110292834A1 (en) | Maintaining Time Series Models for Information Technology System Parameters | |
| CN115967618A (zh) | 一种多项目的bmc传感器配置管理方法及装置 | |
| JP7325695B1 (ja) | データ処理装置、データ処理方法及びデータ処理プログラム | |
| US20240127083A1 (en) | Systems and methods for knowledge-based reasoning of an autonomous system | |
| WO2016066081A1 (zh) | 写入数据的方法和装置技术领域 | |
| JP2023553220A (ja) | マルチインスタンスプロセスのためのプロセスマイニング | |
| US9471713B2 (en) | Handling complex regex patterns storage-efficiently using the local result processor | |
| WO2023147744A1 (zh) | 密钥状态检测方法、装置、设备及介质 | |
| WO2023275763A1 (en) | Systems and methods for knowledge-based reasoning of an autonomous system | |
| US20220075963A1 (en) | System and method for image localization in knowledge base content | |
| JP7259436B2 (ja) | 情報処理装置、情報処理方法、情報処理プログラム、及び情報処理システム | |
| WO2022113355A1 (ja) | システム監視装置、システム監視方法、及びコンピュータ読み取り可能な記録媒体 | |
| JP4615010B2 (ja) | 文書管理プログラムおよび文書管理方法 | |
| WO2023188092A1 (ja) | 情報処理装置、情報処理方法、及びコンピュータ読み取り可能な記録媒体 | |
| US20240232412A1 (en) | Information processing apparatus, information processing method, and computer readable recording medium | |
| US11797707B2 (en) | Non-transitory computer-readable recording medium having stored therein information processing program, information processing method, and information processing apparatus | |
| US20210224408A1 (en) | Non-transitory computer-readable recording medium having stored therein screen displaying program, method for screen displaying, and screen displaying apparatus | |
| CN116823477A (zh) | 一种交易处理控制方法及相关装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230516 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230516 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20230516 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230704 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230801 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7325695 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |