JP7403414B2 - 通信中継装置および通信中継方法 - Google Patents
通信中継装置および通信中継方法 Download PDFInfo
- Publication number
- JP7403414B2 JP7403414B2 JP2020137974A JP2020137974A JP7403414B2 JP 7403414 B2 JP7403414 B2 JP 7403414B2 JP 2020137974 A JP2020137974 A JP 2020137974A JP 2020137974 A JP2020137974 A JP 2020137974A JP 7403414 B2 JP7403414 B2 JP 7403414B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- communication data
- feature value
- phase
- relay device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims description 172
- 238000000034 method Methods 0.000 title claims description 14
- 238000001514 detection method Methods 0.000 claims description 35
- 238000000605 extraction Methods 0.000 claims description 12
- 230000001360 synchronised effect Effects 0.000 claims description 5
- 239000000284 extract Substances 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 13
- 230000007274 generation of a signal involved in cell-cell signaling Effects 0.000 description 8
- 238000012545 processing Methods 0.000 description 8
- ATJFFYVFTNAWJD-UHFFFAOYSA-N Tin Chemical group [Sn] ATJFFYVFTNAWJD-UHFFFAOYSA-N 0.000 description 6
- 230000000630 rising effect Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 239000000126 substance Substances 0.000 description 2
- 230000002123 temporal effect Effects 0.000 description 2
- 238000012935 Averaging Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
本発明は、通信中継装置および通信中継方法に関する。
製造業における化学プラントや製品組み立て装置等の設備を制御する制御システムは、安全かつ安定な動作を維持する必要がある。かかる制御システムは、制御システム用のネットワークを介して、外部から定期的かつ周期的に受信した通信内容に基づいてリアルタイムで制御される。
しかし、制御システムに対してその動作を阻害したり、誤った動作を行わせたりする意図で、制御システム用のネットワークを介して不正な内容のデータが送られる場合がある。対策として、このような不正な通信を遮断する能力を具備したファイアウォールやIPS(Intrusion Prevention System)等を介して防御対象の装置を制御システム用のネットワークに接続する方法が知られている。
例えば、制御システムに対する攻撃としては、攻撃目標であるサーバに対して、大量のデータを送り付けるDoS(Denial of Services)攻撃が知られている。DoS攻撃が行われると、データを送り付けられたサーバは、負荷に耐え切れなくなってダウンしてしまうおそれがある。
このようなDoS攻撃への対策として、特許文献1には通信内容からその特徴値を抽出し、その特徴値ごとに到来頻度を算出し、到来頻度が高い場合に当該特徴値をもつ通信を遮断することによりDoS攻撃を回避することができるネットワークシステムが開示されている。
しかし、特許文献1に開示された技術においては、正規の通信を傍受してその通信内容を大量に複製し送り付ける形式のDoS攻撃に対してそれを回避することが困難であるという課題がある。これは、従来技術では、正規の通信内容を複製されるとその攻撃通信の特徴値も正規の通信内容と同じになってしまい、区別をつけることができないためである。よって通信内容の特徴値ごとの到来頻度に基づくと、DoS攻撃の不正通信を遮断すると同時に、本来通過させるべき正規の通信も不正通信と同様に遮断してしまい、対象設備の制御が継続できなくなるという不都合が生じる。
本発明は、上記課題に鑑みてなされたものであり、その目的は、正規の通信の内容を大量に複製し送り付ける形式のDoS攻撃から保護対象装置を効果的に防御することができる技術を提供することにある。
上記目的を達成するために、本発明の通信中継装置は、通信網を介して受信した通信データを保護対象装置へ中継する通信中継装置であって、前記通信データから特徴値を抽出する特徴値抽出部と、前記特徴値抽出部によって抽出された特徴値ごとの頻度の平均を算出し、該特徴値ごとの頻度の平均が特徴値ごとのしきい値以上である場合に遮断信号を出力する頻度判定部と、前記特徴値抽出部によって抽出された特徴値ごとに、前記通信データの受信タイミングが所定の周期に対応する位相の範囲に合致するかを判定し、合致する場合に位相合致信号を出力する位相判定部と、前記頻度判定部によって出力された前記遮断信号、および、前記位相判定部によって出力された前記位相合致信号に基づいて、前記通信データを破棄する破棄部とを有することを特徴とする。
本発明によれば、正規の通信の内容を大量に複製し送り付ける形式のDoS攻撃から保護対象装置を効果的に防御することができる。
以下、本発明の実施形態について、図面を参照して説明する。なお、以下に説明する実施形態は特許請求の範囲に係る発明を限定するものではなく、また実施形態の中で説明されている諸要素およびその組合せの全てが発明の解決手段に必須であるとは限らない。また発明の構成に必須だが周知である構成については、図示および説明を省略する場合がある。また各図に示す各要素の数は一例であって、図示に限られるものではない。
(第1の実施形態)
先ず第1の実施形態に係る通信中継装置1について説明する。図1は、第1の実施形態に係る通信中継装置1の構成を表したブロック図である。
先ず第1の実施形態に係る通信中継装置1について説明する。図1は、第1の実施形態に係る通信中継装置1の構成を表したブロック図である。
通信中継装置1は、その入力端子Tinをネットワーク3に、出力端子Toutを保護対象装置2に接続されている。保護対象装置2は、例えばPLC(Programmable Logic Controller)等の、制御対象(図示しない)に直接接続された制御装置であり、制御対象に対して既定の制御周期で制御動作(センシング・アクチュエーション)を行う。制御対象は、化学プラントや、組立設備、製造設備等である。
制御装置4は、例えば産業用PC(Personal Computer)であり、保護対象装置2に対してその処理内容を指示するため、ネットワーク3を介して、保護対象装置2と、その制御周期に応じて周期的な通信を行う。
ネットワーク3にはさらに攻撃者により攻撃装置9が接続されるおそれがある。攻撃装置9は、ネットワーク3を流れる通信データを傍受し、その複製を大量に保護対象装置2に送り付けるDoS攻撃を行う。このDoS攻撃に対して対策を行わない場合、保護対象装置2は受信される大量の通信データに対して処理が追い付かず、システムダウンしてしまうおそれがある。
次に、通信中継装置1の内部構成について説明する。通信中継装置1は、特徴値抽出回路13と、複数の平均頻度判定回路15と、複数の通信位相判定回路17と、破棄回路19とを含んで構成されている。
入力端子Tinから入力された通信データ11は、特徴値抽出回路13および破棄回路19へ入力される。本実施形態では、通信データ11は、保護対象装置2の制御対象に対する処理内容を、保護対象装置2へ指示する制御フレーム等であるとするが、これに限られない。特徴値抽出回路13は、入力された通信データ11を分析してその特徴値14を抽出し出力する。特徴値14は、単に通信データ11内の決まった位置の情報(例えば、送信元アドレス)を切り出したものでもよいし、ハッシュ関数等を用いて通信データ11の内容全体から算出されるものでもよい。同じ通信データ11からは同じ特徴値14が、異なる通信データ11からは異なる特徴値14が抽出されるように構成される。特徴値抽出回路13にて抽出された特徴値14は、複数の平均頻度判定回路15および複数の通信位相判定回路17へ入力される。
複数の平均頻度判定回路15は、それぞれ異なる特徴値に対応し、割り当てられた特徴値14ごとにその到来頻度の平均頻度を算出し、平均頻度が所定しきい値より大きいかどうかの判定を行う。平均頻度判定回路15に設定されている特徴値は、事前設定された正規の通信データの特徴値であってもよいし、特徴値抽出回路13によってDoS攻撃を受けていない通常状態における正規の通信データから取得されてもよい。通常状態とは、例えば通信データの受信頻度が所定値未満である場合をいう。
各平均頻度判定回路15は、対応する各特徴値の到来頻度の平均頻度が、特徴値ごとの所定しきい値より大きい場合に「頻度大」を表す遮断信号16を出力する。平均頻度を算出する手法については、一定時間内に受信した回数を計数した結果を平均頻度とする手法でもよいし、一次遅れ系等によるローパスフィルタを形成してその出力の大きさを平均頻度とする手法でもよい。
なお各平均頻度判定回路15は、特徴値ごとの所定しきい値を、DoS攻撃を受けていない通常状態における通信データの各特徴値の到来頻度をもとに、平均頻度と同様の手法で予め算出しておいてもよい。例えば、特徴値ごとの所定しきい値を、通常状態において一定時間内に受信した特徴値ごとの通信データの受信回数を計数した結果として算出してもよい。あるいは、特徴値ごとの所定しきい値を、通常状態において一定時間内に受信した特徴値ごとの通信データの受信タイミングを一次遅れ系のローパスフィルタのパルス入力とした場合の出力の大きさとして算出してもよい。
それぞれの平均頻度判定回路15の動作について、図2を用いて詳細を説明する。図2は、平均頻度判定回路15における信号の時間変化を表すタイミングチャートである。図2の例では、特徴値14がA、B、Cの3種類に分類され、通常状態ではそれぞれが一定の周期で到来している。また図2中にDoS状態として示した期間には、攻撃者によって特徴値Aの通信データが複製され、DoS状態の期間にわたって絶えず大量に送り付けられている。
以上を前提とし、平均頻度判定回路15は、その内部において、それぞれの特徴値ごとに通信データの受信タイミングをパルス入力とした一次遅れ系のローパスフィルタにより平均的な到来頻度を算出する。図2中では、通常状態では、特徴値A、B、Cともその到来頻度の算出値は所定しきい値未満の低い値に抑えられている。しかし、DoS状態では、特徴値Aの到来頻度の算出結果が所定しきい値以上の高い値となる様子を示している。
平均頻度判定回路15は、こうして算出された各特徴値の到来頻度について、所定しきい値を超えるかを判定し、超える場合(頻度大)に当該特徴値について遮断を指示する遮断信号16を破棄回路19に対して出力し、超えない場合(頻度小)には遮断信号16を出力しない。その結果、破棄回路19は、特徴値Aをもつ頻度大の通信データについてその破棄を行う。この場合において、特徴値BおよびCをもつ通信データについては遮断信号16が出力されないため、破棄回路19は、当該通信データは遮断しない。
図2中では、時刻t1からt2までの期間において、特徴値Aの通信データの遮断信号16が出力されているため、当該期間において入力された特徴値Aの全ての通信データが破棄されている。このように遮断信号16のみでは、DoS状態の最中に到来した特徴値Aを持つ正規の通信データについても併せて遮断してしまう。これを改善するのが次に述べる通信位相判定回路17の役割である。
通信位相判定回路17は、特徴値14ごとに既定の周期に対応する位相かどうかの判定を行い、既定の周期に対応する位相の範囲内である場合(位相合致)に位相合致信号18を出力し、範囲外である場合(非位相合致)には位相合致信号18を出力しない。既定の周期における位相の判定方法については図3および図4をもとに後述する。
破棄回路19は、平均頻度判定回路15からの遮断信号16の出力の有無、および、通信位相判定回路17からの位相合致信号18の出力の有無をもとに、入力端子Tinから入力された通信データ11を出力端子Toutからそのまま出力するか、出力せずに破棄するかの弁別動作を行う。具体的には、破棄回路19は、平均頻度判定回路15の判定結果が「頻度大」(遮断信号16出力)の場合、入力された通信データ11を破棄する。
ただし破棄回路19は、平均頻度判定回路15の判定結果が「頻度大」の場合でも通信位相判定回路17の判定結果が「位相合致」(位相合致信号18出力)の場合には、入力された通信データ11は破棄せずそのまま出力する。
なお本実施形態では、通信中継装置1は、複数の特徴値に対応して複数の平均頻度判定回路15および複数の通信位相判定回路17を備えるとした。しかしこれに限らず、1つの平均頻度判定回路15および1つの通信位相判定回路17がそれぞれ複数の特徴値を取り扱う構成であってもよい。
以上の構成により、通信中継装置1は、入力端子Tinから入力された通信データ11が高頻度である、すなわちDoS攻撃を受けている場合にはその通信データ11を破棄し、通信データ11の受信タイミングが既定の周期に対応する位相に合致している、すなわち正規の通信であると推定できる通信データ11については破棄せずそのまま出力する。よって正当な通信の内容を大量に複製し送り付ける形式のDoS攻撃から保護対象装置2を効果的に防御することができる。
ただし、位相合致信号18が出力されるタイミングで到来するDoS攻撃の通信データも正規の通信データと区別せずに通過させてしまうが、保護対象装置2へ到達するDoS攻撃の通信データ量自体は削減できるため、システムダウンを防ぐことができる。
次に、通信位相判定回路17の内部構成とその動作について図3および図4をもとに説明する。図3は、第1の実施形態に係る通信位相判定回路17の構成を表したブロック図である。また図4は、第1の実施形態に係る通信位相判定回路17の内部の各信号についてその時系列での変化の例を表したタイミングチャートである。
通信位相判定回路17は、パルス信号生成回路170と、検波信号生成回路171,172と、検波回路173,174と、ローパスフィルタ175,176と、位相判定回路177と含んで構成されている。
パルス信号生成回路170は、入力された特徴値14が自回路に設定されている値に合致した場合に短いパルス信号1700を出力する。図4に示した例では、通常状態では正規の通信データが所定の周期で入力され、DoS状態では通信データが高頻度で入力されたような場合でのパルス信号1700の波形を示している。
検波信号生成回路171,172は、次に述べる同期検波処理のために必要な検波信号1710,1720を生成する。ここで生成される検波信号1710,1720は、制御装置4での制御処理と同じ周波数で、既定の周期であり、その大きさが+1もしくは-1となる矩形波の信号である。そして、検波信号生成回路171が生成する検波信号1710と検波信号生成回路172が生成する検波信号1720は、図5および図6に示すように、互いに位相が90度ずれている。
検波回路173,174は、入力されたパルス信号1700と検波信号1710,1720とをそれぞれ乗算して検波出力1730,1740として出力する。ただし、乗算といっても検波信号1710,1720は+1または-1の値しかとらないため、図4に示したように、検波出力1730,1740はパルス信号1700の符号がそのまま、もしくは反転したものとなる。このことから、検波回路173,174は汎用的な乗算回路を用いる必要はなく、符号反転の機能を備えていればよい。
この検波回路の動作により、制御装置4での制御処理と同じ周波数で到来する通信データによる検波出力1730,1740は毎回同じ正負の符号となる。一方で異なる周波数で到来する通信データ、例えばDoS攻撃による通信データの符号は正負にばらついたものとなり、次に述べる平均化を行うとほぼゼロとなり、取り除くことができる。
ローパスフィルタ(LPF)175,176は、例えば一次遅れ系の入出力特性を持ち、正負のパルス状の信号である検波出力1730,1740を平均化し、DoS攻撃等による通信データの成分を取り除いたLPF出力1750,1760をそれぞれ出力する機能を持つ。LPF出力1750,1760は、図4に示したようにパルスの凹凸が平均化されたなめらかな波形となり、次に述べる位相判定に適した波形となる。
位相判定回路177は、正規の通信データの到来タイミングの位相を判定する機能を持ち、判定した位相に応じた位相合致信号18を出力する。判定の方法としては、LPF出力1750,1760それぞれの正負の符号により判定する。図5は、第1の実施形態に係る通信位相判定回路17における、各LPF175,176の出力と位相象限判定結果との関係を表した図である。図6は、第1の実施形態に係る各検波信号1710,1720と、各象限1,2,3,4に対応する位相合致信号18の関係を表した図である。
具体的には、図5に示したようにLPF出力1750,1760それぞれの正負の別により象限(位相の範囲)を判定する。そして、当該象限に対応した位相合致信号を図6に示したような対応関係から選択して位相合致信号18として出力する。
詳細には、図5に基づくと、LPF出力1750,1760が共に正の場合は象限1、LPF出力1750が負かつLPF出力1760が正の場合は象限2、LPF出力1750,1760が共に負の場合は象限3、LPF出力1750が正かつLPF出力1760が負の場合は象限4である。図4では、全ての期間にわたってLPF出力1750が正かつLPF出力1760が負の場合に該当するので、象限4と判定される。
そして、図6を参照すると、象限4に対応する位相合致信号は、検波信号1710の立ち上りのタイミングでHiとなり検波信号1720の立ち上がりのタイミングでLoとなるパルスである。よって図4に示すタイミングで位相合致信号18が出力される。
以上の構成により、通信位相判定回路17は特徴値14の入力を受け、それに含まれる正規の通信データの受信タイミングの所定近傍の通信データを通過させるように位相合致信号18を出力することができる。たとえDoS攻撃が周期性を持っていたとしても、正規の通信データの周波数および位相に合致しない限りは不正な通信データと判定され破棄される。
なおネットワーク3を介して入力端子Tinへ入力される通信データの単位時間の通信量と、出力端子Toutから保護対象装置2へ出力される通信データの単位時間の通信量を比較し、後者の通信量が少ない場合には、通信中継装置1によってDoS攻撃の通信データが削減されているとみることができる。またネットワーク3を介して入力端子Tinへ入力される通信データの周期性と、出力端子Toutから保護対象装置2へ出力される通信データの周期性を比較し、後者の周期性が制御装置4および保護対象装置2の制御処理周期により近い場合には、通信中継装置1によってDoS攻撃の通信データが削減されているとみることができる。かかる情報を表示装置に表示することで、正規の通信データのコピーを使ったDoS攻撃と、このDoS攻撃に対する防御の実行を認識できる。
(第1の実施形態の効果)
従来技術では、通信データを特徴量で識別し特徴量ごとのデータ頻度に基づいて削除するため、DoS攻撃等の不正な通信データのみならず本来通過させるべき正規の通信データも破棄してしまうという不都合があった。これに対し、本実施形態によれば、通信データを特徴量で識別し特徴量ごとのデータ頻度に基づいて削除することに加え、正規の通信データの周期性に着目し、この周期性に合致する通信データを破棄しないようにする。よって、DoS攻撃によるトラヒックを削減して保護対象装置のシステムダウンを防ぎつつ、本来中継するべき通信データが破棄されてしまうという不都合を回避し、多様なDoS攻撃に対する耐性を高め得る。
従来技術では、通信データを特徴量で識別し特徴量ごとのデータ頻度に基づいて削除するため、DoS攻撃等の不正な通信データのみならず本来通過させるべき正規の通信データも破棄してしまうという不都合があった。これに対し、本実施形態によれば、通信データを特徴量で識別し特徴量ごとのデータ頻度に基づいて削除することに加え、正規の通信データの周期性に着目し、この周期性に合致する通信データを破棄しないようにする。よって、DoS攻撃によるトラヒックを削減して保護対象装置のシステムダウンを防ぎつつ、本来中継するべき通信データが破棄されてしまうという不都合を回避し、多様なDoS攻撃に対する耐性を高め得る。
(第2の実施形態)
次に、第2の実施形態に係る通信中継装置1Bについて説明する。第2の実施形態に係る通信中継装置1Bは、第1の実施形態に係る通信中継装置1と比べ、判定する位相の分解能を高めることができる。
次に、第2の実施形態に係る通信中継装置1Bについて説明する。第2の実施形態に係る通信中継装置1Bは、第1の実施形態に係る通信中継装置1と比べ、判定する位相の分解能を高めることができる。
第2の実施形態に係る通信中継装置1Bは、第1の実施形態に係る通信中継装置1と比べて、通信位相判定回路17に代えて通信位相判定回路17Bを備える。通信中継装置1Bは、通信位相判定回路17Bが通信位相判定回路17と比較して構成が拡張されているほかは、通信中継装置1と同一である。よって、ここでは通信位相判定回路17Bにおける構成の差分について説明する。
図7は、第2の実施形態に係る通信位相判定回路17Bの構成を表したブロック図である。第1の実施形態における通信位相判定回路17との差分は、検波信号生成回路1711,1721、検波回路1731,1741、およびローパスフィルタ1751,1761が追加され、それぞれの出力が位相判定回路177へ入力されている点である。
追加された構成を含めた4つの検波信号1710,1720,1712,1722は、図8および図9に示したようにそれぞれ互いに45度ずつずれている。検波回路1731,1741、およびローパスフィルタ1751,1761における信号処理の内容は、検波回路173,174およびローパスフィルタ175,176におけるそれと同じである。
図8は、第2の実施形態に係る通信位相判定回路17Bにおける、各LPF175,176,1751,1761の出力と位相象限判定結果との関係を表した図である。図9は、第2の実施形態に係る各検波信号1710,1720,1712,1722と、各象限1,2,3,4,5,6,7,8に対応する位相合致信号18の関係を表した図である。
以上の構成により、計4つのLPF出力1750,1760,1752,1762が得られる。位相判定回路177はこれらLPF出力の正負の符号の組み合わせにより、位相を判定して位相合致信号18を出力する。具体的な方法としては、4つのLPF出力の正負の関係から、図8に示したように8つの象限のうち該当する象限(位相の範囲)を判定する。そして、当該象限に対応した位相合致信号を図9に示したような対応関係から選択して位相合致信号18として出力する。
図8に基づくと、例えばLPF出力1750,1760,1752が正かつLPF出力1762が負の場合は象限1である。このようにLPF出力1750,1760,1752,1762の各正負の符号の組合せに応じて象限が決まる。よってLPF出力1750,1760,1752が正かつLPF出力1762が負の期間では、象限1と判定される。
そして、図9を参照すると、象限1に対応する位相合致信号は、検波信号1712の立ち上りのタイミングでHiとなり検波信号1722の立ち上がりのタイミングでLoとなるパルスである。このパルスのタイミングで位相合致信号18が出力される。
(第2の実施形態の効果)
この構成により、第1の実施形態に係る通信中継装置1と比べ、判定する位相の分解能を2倍に高めることができ、正規の通信に紛れて通過してしまうDoS攻撃通信の量を削減することができる。
この構成により、第1の実施形態に係る通信中継装置1と比べ、判定する位相の分解能を2倍に高めることができ、正規の通信に紛れて通過してしまうDoS攻撃通信の量を削減することができる。
(実施形態の変形例)
なお第1の実施形態では使用する検波信号の数は2つ、第2の実施形態では4つであったが、本発明はこれらの数に制約されず、任意数の検波信号を用いることができる。より多くの検波信号を用いることで判定する位相の分解能をさらに高めることができる。検波信号の数は、直交性を考慮して2n(nは自然数)とし、各検波信号を180/2n度だけ位相をずらすことがより好適である。検波信号の数は、検波信号数に応じた回路規模と分解能のトレードオフを考慮して最適数を選択することになる。
なお第1の実施形態では使用する検波信号の数は2つ、第2の実施形態では4つであったが、本発明はこれらの数に制約されず、任意数の検波信号を用いることができる。より多くの検波信号を用いることで判定する位相の分解能をさらに高めることができる。検波信号の数は、直交性を考慮して2n(nは自然数)とし、各検波信号を180/2n度だけ位相をずらすことがより好適である。検波信号の数は、検波信号数に応じた回路規模と分解能のトレードオフを考慮して最適数を選択することになる。
また上述した第1および第2の実施形態では検波信号生成回路が生成する検波信号は規定の周期である例を説明したが、これに限らず、通信データの受信タイミングから正規の通信データの周期を学習し、学習した周期を検波信号の周期とする、すなわち通信データの受信タイミングに基づいて正規通信の周期性を示す所定の周期を学習してもよい。これにより制御周期が変動する場合にも自動的に追従して、通信データの破棄の判断に用いる正規通信の周期を自動変更できる。
本発明は上述の実施形態に限定されるものではなく、様々な変形例を含む。例えば、上記した実施形態は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また矛盾しない限りにおいて、ある実施形態の構成の一部を他の実施形態の構成で置き換え、ある実施形態の構成に他の実施形態の構成を加えることも可能である。また各実施形態の構成の一部について、構成の追加、削除、置換、統合、または分散をすることが可能である。また実施形態で示した構成および処理は、処理効率または実装効率に基づいて適宜分散、統合、または入れ替えることが可能である。
1,1B:通信中継装置、2:保護対象装置、3:ネットワーク、4:制御装置、9:攻撃装置、13:特徴値抽出回路、15:平均頻度判定回路、17,17B:通信位相判定回路、19:破棄回路
Claims (10)
- 通信網を介して受信した通信データを保護対象装置へ中継する通信中継装置であって、
前記通信データから特徴値を抽出する特徴値抽出部と、
前記特徴値抽出部によって抽出された特徴値ごとの頻度の平均を算出し、該特徴値ごとの頻度の平均が特徴値ごとのしきい値以上である場合に遮断信号を出力する頻度判定部と、
前記特徴値抽出部によって抽出された特徴値ごとに、前記通信データの受信タイミングが所定の周期に対応する位相の範囲に合致するかを判定し、合致する場合に位相合致信号を出力する位相判定部と、
前記頻度判定部によって出力された前記遮断信号、および、前記位相判定部によって出力された前記位相合致信号に基づいて、前記通信データを破棄する破棄部と
を有することを特徴とする通信中継装置。 - 前記破棄部は、
前記遮断信号が出力されている際、前記位相合致信号が出力されていない場合は前記通信データを破棄し、前記位相合致信号が出力されている場合は前記通信データを破棄せず前記保護対象装置へ中継する
ことを特徴とする請求項1に記載の通信中継装置。 - 通信データの受信タイミングに基づいて前記所定の周期を学習する
ことを特徴とする請求項1に記載の通信中継装置。 - 前記所定の周期に対応する位相の範囲を、同期検波信号の正負の符号に応じて検波対象信号の値の正負を反転させる同期検波を用いて検出する
ことを特徴とする請求項1に記載の通信中継装置。 - 前記同期検波において、180/2n(nは自然数)度ずつ位相がずれた2n個の前記同期検波信号を用いる
ことを特徴とする請求項4に記載の通信中継装置。 - n=1であることを特徴とする請求項5に記載の通信中継装置。
- n=2であることを特徴とする請求項5に記載の通信中継装置。
- 前記頻度判定部は、
前記特徴値ごとの頻度の平均を、前記特徴値ごとの前記通信データの受信タイミングをパルス入力とした一次遅れ系のローパスフィルタの出力の大きさとして算出する
ことを特徴とする請求項1に記載の通信中継装置。 - 前記特徴値ごとのしきい値を、一定時間内に受信した前記特徴値ごとの前記通信データの受信タイミングを一次遅れ系のローパスフィルタのパルス入力とした場合の出力の大きさとして算出する
ことを特徴とする請求項1に記載の通信中継装置。 - 通信網を介して受信した通信データを保護対象装置へ中継する通信中継装置が行う通信中継方法であって、
前記通信データから特徴値を抽出し、
前記抽出された特徴値ごとの頻度の平均を算出し、該特徴値ごとの頻度の平均が特徴値ごとのしきい値以上である場合に遮断信号を出力し、
前記抽出された特徴値ごとに、前記通信データの受信タイミングが既定の周期に対応する位相の範囲に合致するかを判定し、合致する場合に位相合致信号を出力し、
前記遮断信号および前記位相合致信号に基づいて、前記通信データを破棄する
各処理を含んだことを特徴とする通信中継方法。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020137974A JP7403414B2 (ja) | 2020-08-18 | 2020-08-18 | 通信中継装置および通信中継方法 |
CN202180046312.4A CN115836509A (zh) | 2020-08-18 | 2021-06-15 | 通信中继装置以及通信中继方法 |
PCT/JP2021/022716 WO2022038880A1 (ja) | 2020-08-18 | 2021-06-15 | 通信中継装置および通信中継方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020137974A JP7403414B2 (ja) | 2020-08-18 | 2020-08-18 | 通信中継装置および通信中継方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2022034264A JP2022034264A (ja) | 2022-03-03 |
JP7403414B2 true JP7403414B2 (ja) | 2023-12-22 |
Family
ID=80323595
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020137974A Active JP7403414B2 (ja) | 2020-08-18 | 2020-08-18 | 通信中継装置および通信中継方法 |
Country Status (3)
Country | Link |
---|---|
JP (1) | JP7403414B2 (ja) |
CN (1) | CN115836509A (ja) |
WO (1) | WO2022038880A1 (ja) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040037326A1 (en) | 2002-08-21 | 2004-02-26 | D'souza Scott | Mitigating denial-of-service attacks using frequency domain techniques |
JP2004318742A (ja) | 2003-04-21 | 2004-11-11 | Hitachi Ltd | 分散型サービス不能攻撃を防ぐネットワークシステム |
EP2009864A1 (en) | 2007-06-28 | 2008-12-31 | Nibelung Security Systems GmbH | Method and apparatus for attack prevention |
JP2009088732A (ja) | 2007-09-28 | 2009-04-23 | Hitachi Ltd | 制御ネットワークシステム |
JP2013137745A (ja) | 2011-11-07 | 2013-07-11 | Advance Co Ltd | 安全ボックス |
JP2014146868A (ja) | 2013-01-28 | 2014-08-14 | Hitachi Automotive Systems Ltd | ネットワーク装置およびデータ送受信システム |
JP2017005402A (ja) | 2015-06-08 | 2017-01-05 | アラクサラネットワークス株式会社 | 通信装置 |
JP2019083355A (ja) | 2016-02-22 | 2019-05-30 | 株式会社日立製作所 | 通信制御装置および通信制御方法 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7088797B2 (en) * | 2002-09-10 | 2006-08-08 | Broadcom Corporation | Phase lock loop with cycle drop and add circuitry |
JP2007074219A (ja) * | 2005-09-06 | 2007-03-22 | Tohoku Univ | 不正アクセス追跡方法および不正アクセス追跡システム |
JP4721362B2 (ja) * | 2007-06-12 | 2011-07-13 | 日本電信電話株式会社 | 閾値設定方法とシステムおよびプログラム |
JP2010283668A (ja) * | 2009-06-05 | 2010-12-16 | Nippon Telegr & Teleph Corp <Ntt> | トラヒック分類システムと方法およびプログラムならびに異常トラヒック検知システムと方法 |
JP5634599B2 (ja) * | 2011-05-11 | 2014-12-03 | 株式会社日立製作所 | データ処理システム、データ処理方法、及び、プログラム |
JP5721904B2 (ja) * | 2012-03-21 | 2015-05-20 | 三菱電機株式会社 | 位相誤差検出装置及び位相誤差検出方法 |
-
2020
- 2020-08-18 JP JP2020137974A patent/JP7403414B2/ja active Active
-
2021
- 2021-06-15 WO PCT/JP2021/022716 patent/WO2022038880A1/ja active Application Filing
- 2021-06-15 CN CN202180046312.4A patent/CN115836509A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040037326A1 (en) | 2002-08-21 | 2004-02-26 | D'souza Scott | Mitigating denial-of-service attacks using frequency domain techniques |
JP2004318742A (ja) | 2003-04-21 | 2004-11-11 | Hitachi Ltd | 分散型サービス不能攻撃を防ぐネットワークシステム |
EP2009864A1 (en) | 2007-06-28 | 2008-12-31 | Nibelung Security Systems GmbH | Method and apparatus for attack prevention |
JP2009088732A (ja) | 2007-09-28 | 2009-04-23 | Hitachi Ltd | 制御ネットワークシステム |
JP2013137745A (ja) | 2011-11-07 | 2013-07-11 | Advance Co Ltd | 安全ボックス |
JP2014146868A (ja) | 2013-01-28 | 2014-08-14 | Hitachi Automotive Systems Ltd | ネットワーク装置およびデータ送受信システム |
JP2017005402A (ja) | 2015-06-08 | 2017-01-05 | アラクサラネットワークス株式会社 | 通信装置 |
JP2019083355A (ja) | 2016-02-22 | 2019-05-30 | 株式会社日立製作所 | 通信制御装置および通信制御方法 |
Also Published As
Publication number | Publication date |
---|---|
WO2022038880A1 (ja) | 2022-02-24 |
CN115836509A (zh) | 2023-03-21 |
JP2022034264A (ja) | 2022-03-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10681079B2 (en) | Method for mitigation of cyber attacks on industrial control systems | |
US10701036B2 (en) | System, method, and computer program for preventing infections from spreading in a network environment using dynamic application of a firewall policy | |
EP3009949B1 (en) | System and method for real-time customized threat protection | |
JP6923265B2 (ja) | プラントセキュリティシステムにおける構成可能なロバスト性エージェント | |
EP2241072B1 (en) | Method of detecting anomalies in a communication system using numerical packet features | |
US20120331556A1 (en) | System and method for protocol fingerprinting and reputation correlation | |
EP1725946A2 (en) | Dynamic network detection system and method | |
US10193868B2 (en) | Safe security proxy | |
Fu et al. | Active traffic analysis attacks and countermeasures | |
JP7403414B2 (ja) | 通信中継装置および通信中継方法 | |
EP2981041A1 (en) | Connected home system with cyber security monitoring | |
Badve et al. | Taxonomy of recent DDoS attack prevention, detection, and response schemes in cloud environment | |
JP6067195B2 (ja) | 情報処理装置及び情報処理方法及びプログラム | |
CN109302401B (zh) | 信息安全防护方法及装置 | |
JP5957593B2 (ja) | データ中継装置、ネットワークシステム、および、データ中継方法 | |
JP3822588B2 (ja) | 不正アクセス検出装置、不正アクセス検出方法、および管理端末 | |
Almeida et al. | Self-healing networks: Adaptive responses to ransomware attacks | |
Divya et al. | Malicious Traffic detection and containment based on connection attempt failures using kernelized ELM with automated worm containment algorithm | |
KR20170133790A (ko) | 상황인지 기반 의심 트래픽 대응 장치 및 방법 | |
CN113711222B (zh) | 用于芯片的激光注入攻击检测电路和安全芯片 | |
CN114205096B (zh) | 一种ddos攻击防御方法及装置 | |
Rahman et al. | Intrusion Detection System for Wireless ADHOC Network using Time Series Techniques | |
KR101016869B1 (ko) | 네트워크 시스템 및 네트워크 보안 장치 | |
Ozen | Malware in smart grid | |
Saudi et al. | Defending worms attack through EDOWA system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230210 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231205 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231212 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7403414 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |