JP7427574B2 - 状態診断装置、及び状態診断方法 - Google Patents
状態診断装置、及び状態診断方法 Download PDFInfo
- Publication number
- JP7427574B2 JP7427574B2 JP2020198061A JP2020198061A JP7427574B2 JP 7427574 B2 JP7427574 B2 JP 7427574B2 JP 2020198061 A JP2020198061 A JP 2020198061A JP 2020198061 A JP2020198061 A JP 2020198061A JP 7427574 B2 JP7427574 B2 JP 7427574B2
- Authority
- JP
- Japan
- Prior art keywords
- attack
- failure
- alerts
- diagnosis device
- alert
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003745 diagnosis Methods 0.000 title claims description 90
- 238000000034 method Methods 0.000 title claims description 54
- 238000004364 calculation method Methods 0.000 claims description 50
- 230000010365 information processing Effects 0.000 claims description 19
- 238000003860 storage Methods 0.000 claims description 19
- 230000002123 temporal effect Effects 0.000 claims description 7
- 230000008569 process Effects 0.000 description 39
- 238000012545 processing Methods 0.000 description 24
- 238000010586 diagram Methods 0.000 description 22
- 238000004891 communication Methods 0.000 description 17
- 230000005856 abnormality Effects 0.000 description 15
- 230000006870 function Effects 0.000 description 12
- 238000004519 manufacturing process Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000007257 malfunction Effects 0.000 description 4
- 238000013473 artificial intelligence Methods 0.000 description 3
- 230000006872 improvement Effects 0.000 description 3
- 230000001364 causal effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 239000011159 matrix material Substances 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000002405 diagnostic procedure Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000008595 infiltration Effects 0.000 description 1
- 238000001764 infiltration Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 238000007639 printing Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
んで行われるような巧妙なサイバー攻撃を精度よく確実に検出することが可能な、状態診断装置、及び状態診断方法を提供することを目的とする。
る。
いて構成される。資産は、これらの通信ネットワークを介してサイバー攻撃を受ける可能性がある。これらの通信ネットワークも資産に相当する。
ているプロセス、各種設備を監視する装置等から発せられる。
現してもよい。また、1つの情報処理装置10を産業制御システム1の複数の構成要素で共用してもよい。
MPU(Micro Processing Unit)、GPU(Graphics Processing Unit)、FPGA(F
ield Programmable Gate Array)、ASIC(Application Specific Integrated Circuit)、AI(Artificial Intelligence)チップ等を用いて構成されている。
イブ、光学式記憶装置(CD(Compact Disc)、DVD(Digital Versatile Disc)等)、ストレージシステム、ICカード、SDカードや光学式記録媒体等の記録媒体の読取/書込装置、クラウドサーバの記憶領域等である。補助記憶装置103には、記録媒体の読取装置や通信装置106を介してプログラムやデータを読み込むことができる。補助記憶装置103に格納(記憶)されているプログラムやデータは主記憶装置102に随時読み込まれる。
105によりGUI(Graphical User Interface)等によるユーザインタフェースを実現するソフトウェア、ミドルウェア、各種のアプリケーション等)が導入されていてもよい。
一群のアラートを、故障の深刻さの度合(軽故障、中故障、重故障)に沿った系列(横軸)と、複数の資産への故障の空間的な段階(資産1、資産2、資産3)に沿った系列(縦軸)とに従って分類することにより得られる故障パターンを例示している。
部又は一部と、選択中の攻撃パターンの全部又は一部を対照することにより攻撃確度を算出する(S912)。
出する(S1112)。
「CPU温度上昇」が発生しているが、この時点では故障確度及び攻撃確度のいずれも低く、この場合、状態診断部140は、サイバー攻撃は受けておらず、故障も発生していないと診断する。
系LAN故障」が発生しているが、この時点では故障確度及び攻撃確度のいずれも低く、この場合、状態診断部140は、サイバー攻撃は受けておらず、故障も発生していないと診断する。
源故障」が発生しているが、この時点では故障確度は低いが攻撃確度が高くなっており、この場合、状態診断部140は、サイバー攻撃を受けていると診断する。
とができる。
ICカード、SDカード、DVD等の記録媒体に置くことができる。
11 センサ
12 アクチュエータ
13 コントローラ
14 安全計装システム
15 制御サーバ
16 エンジニアリングワークステーション
17 監視制御サーバ
18 データヒストリアン
19 伝送サーバ
50 制御系ネットワーク
51 情報/制御系ネットワーク
52 情報系ネットワーク
100 状態診断装置
110 記憶部
111 アラート情報
112 攻撃パターン情報
113 故障パターン情報
114 資産定義情報
120 アラート受信部
130 アラート情報生成部
140 状態診断部
141 攻撃確度算出部
142 故障確度算出部
150 診断結果出力部
160 情報設定部
S800 状態診断処理
S814 攻撃確度算出処理
S815 故障確度算出処理
Claims (15)
- 複数の資産を有して構成される産業制御システムにおけるサイバー攻撃を検出する情報処理装置であって、
複数の前記資産がサイバー攻撃を受けた場合に発生することが想定される一群のアラートを、前記サイバー攻撃の時間的な段階に沿った系列と、前記サイバー攻撃を受けた資産の空間的な段階に沿った系列とによって分類することにより得られる類型である一つ以上の攻撃パターンを記憶する記憶部と、
前記資産について発生した一群のアラートと前記攻撃パターンとの一致性に基づき前記産業制御システムに対するサイバー攻撃の有無を診断する状態診断部と、
を備える、状態診断装置。 - 請求項1に記載の状態診断装置であって、
前記サイバー攻撃の時間的な段階に沿った系列は、サイバー攻撃の偵察、侵入、及び最終目標への攻撃の各段階に沿った系列であり、
前記サイバー攻撃の空間的な段階に沿った系列は、複数の前記資産への広がりに沿った系列である、
状態診断装置。 - 請求項1に記載の状態診断装置であって、
前記記憶部は、前記資産に故障が生じた場合に発生することが想定される一群のアラートを、故障の度合いに沿った系列と、前記故障が生じた資産の空間的な段階に沿った系列とによって分類することにより得られる類型である一つ以上の故障パターンを更に記憶し、
前記状態診断部は、前記資産について発生した一群のアラートと前記攻撃パターンとの一致性と、前記一群のアラートと前記故障パターンとの一致性とに基づき、前記資産に対するサイバー攻撃の有無を診断する、
状態診断装置。 - 請求項3に記載の状態診断装置であって、
前記故障の度合いに沿った系列は、前記故障の深刻度に応じた系列であり、
前記故障が生じた資産の空間的な段階に沿った系列は、複数の前記資産への故障の広がりに沿った系列である、
状態診断装置。 - 請求項1に記載の状態診断装置であって、
前記状態診断部は、
前記一群のアラートと前記攻撃パターンとの一致性を示す情報である攻撃確度を求める攻撃確度算出部を有し、
前記攻撃確度に基づき、前記資産に対するサイバー攻撃の有無を診断する、
状態診断装置。 - 請求項5に記載の状態診断装置であって、
前記攻撃確度算出部は、前記一群のアラートに前記攻撃パターンのアラートに対応するアラートが存在するか否か、又は前記一群のアラートにおけるアラートと前記攻撃パターンのアラートの前後の繋がりの一致性に基づき、前記攻撃確度を算出する、
状態診断装置。 - 請求項5に記載の状態診断装置であって、
前記状態診断部は、前記攻撃確度が予め設定した第1閾値以上である場合に前記産業制
御システムに対するサイバー攻撃があると診断する、
状態診断装置。 - 請求項3に記載の状態診断装置であって、
前記状態診断部は、
前記一群のアラートと前記攻撃パターンとの一致性を示す情報である攻撃確度を求める攻撃確度算出部と、
前記一群のアラートと前記故障パターンとの一致性を示す情報である故障確度を求める故障確度算出部と、
を有し、
前記攻撃確度及び前記故障確度に基づき、前記産業制御システムに対するサイバー攻撃の有無を診断する、
状態診断装置。 - 請求項8に記載の状態診断装置であって、
前記故障確度算出部は、前記一群のアラートに前記故障パターンのアラートに対応するアラートが存在するか否か、又は前記一群のアラートにおけるアラートと前記故障パターンのアラートの前後の繋がりの一致性に基づき、前記故障確度を算出する、
状態診断装置。
- 請求項8に記載の状態診断装置であって、
前記状態診断部は、前記攻撃確度が予め設定した第1閾値以上であり、かつ、前記故障確度が予め設定した第2閾値未満である場合に前記産業制御システムに対するサイバー攻撃があると判定する、
状態診断装置。 - 請求項1に記載の状態診断装置であって、
前記攻撃パターンは、前記産業制御システムがサイバーキルチェーン(Cyber Kill Chain)として体系化される攻撃を受けた場合に発生することが想定される一群のアラートの類型である、
状態診断装置。 - 請求項3に記載の状態診断装置であって、
前記資産と前記資産について発生するアラートとの関係、前記攻撃パターン、前記故障パターンの少なくともいずれかの設定を行うユーザインタフェースを提供する情報設定部を更に備える、
状態診断装置。 - 請求項3に記載の状態診断装置であって、
前記資産に対するサイバー攻撃の有無を示す情報、前記一群のアラートに関する情報、前記一群のアラートと前記攻撃パターンとの一致性に関する情報、及び前記一群のアラートと前記故障パターンとの一致性に関する情報、のうちの少なくともいずれかを出力する診断結果出力部を更に備える、
状態診断装置。 - 複数の資産を有して構成される産業制御システムにおけるサイバー攻撃を検出する情報処理装置が、
複数の前記資産がサイバー攻撃を受けた場合に発生することが想定される一群のアラートを、前記サイバー攻撃の時間的な段階に沿った系列と、前記サイバー攻撃を受けた資産の空間的な段階に沿った系列とによって分類することにより得られる類型である一つ以上
の攻撃パターンを記憶するステップと、
前記資産について発生した一群のアラートと前記攻撃パターンとの一致性に基づき前記産業制御システムに対するサイバー攻撃の有無を診断するステップと、
を実行する、状態診断方法。 - 請求項14に記載の状態診断方法であって、
前記情報処理装置が、
前記資産に故障が生じた場合に発生することが想定される一群のアラートを、故障の度合いに沿った系列と、前記故障が生じた資産の空間的な段階に沿った系列とによって分類することにより得られる類型である一つ以上の故障パターンを更に記憶するステップと、
前記資産について発生した一群のアラートと前記攻撃パターンとの一致性と、前記一群のアラートと前記故障パターンとの一致性とに基づき、前記資産に対するサイバー攻撃の有無を診断するステップと、
を更に実行する、状態診断方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020198061A JP7427574B2 (ja) | 2020-11-30 | 2020-11-30 | 状態診断装置、及び状態診断方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020198061A JP7427574B2 (ja) | 2020-11-30 | 2020-11-30 | 状態診断装置、及び状態診断方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2022086181A JP2022086181A (ja) | 2022-06-09 |
JP7427574B2 true JP7427574B2 (ja) | 2024-02-05 |
Family
ID=81894183
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020198061A Active JP7427574B2 (ja) | 2020-11-30 | 2020-11-30 | 状態診断装置、及び状態診断方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7427574B2 (ja) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20190141058A1 (en) | 2017-11-09 | 2019-05-09 | Accenture Global Solutions Limited | Detection of adversary lateral movement in multi-domain iiot environments |
JP2020515962A (ja) | 2017-03-27 | 2020-05-28 | 新華三技術有限公司New H3C Technologies Co., Ltd. | Apt攻撃に対する防御 |
WO2020183615A1 (ja) | 2019-03-12 | 2020-09-17 | 三菱電機株式会社 | 攻撃推定装置、攻撃制御方法、および攻撃推定プログラム |
US20200336497A1 (en) | 2019-04-18 | 2020-10-22 | International Business Machines Corporation | Detecting sensitive data exposure via logging |
-
2020
- 2020-11-30 JP JP2020198061A patent/JP7427574B2/ja active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020515962A (ja) | 2017-03-27 | 2020-05-28 | 新華三技術有限公司New H3C Technologies Co., Ltd. | Apt攻撃に対する防御 |
US20190141058A1 (en) | 2017-11-09 | 2019-05-09 | Accenture Global Solutions Limited | Detection of adversary lateral movement in multi-domain iiot environments |
WO2020183615A1 (ja) | 2019-03-12 | 2020-09-17 | 三菱電機株式会社 | 攻撃推定装置、攻撃制御方法、および攻撃推定プログラム |
US20200336497A1 (en) | 2019-04-18 | 2020-10-22 | International Business Machines Corporation | Detecting sensitive data exposure via logging |
Also Published As
Publication number | Publication date |
---|---|
JP2022086181A (ja) | 2022-06-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7240071B2 (ja) | 無人航空機のサイバー攻撃検出、位置特定、および中和 | |
EP3803660B1 (en) | Knowledge graph for real time industrial control system security event monitoring and management | |
CN107491057B (zh) | 保护工业资产控制系统的系统及方法及计算机可读介质 | |
US10841322B2 (en) | Decision system and method for separating faults from attacks | |
JP6638644B2 (ja) | 情報処理装置及び異常検知方法 | |
EP3465515B1 (en) | Classifying transactions at network accessible storage | |
US11252169B2 (en) | Intelligent data augmentation for supervised anomaly detection associated with a cyber-physical system | |
CN107592309B (zh) | 安全事件检测和处理方法、系统、设备及存储介质 | |
JP2017199365A (ja) | 産業資産制御システム用のドメインレベル脅威検出 | |
US20200244677A1 (en) | Scalable hierarchical abnormality localization in cyber-physical systems | |
EP3926891B1 (en) | Intelligent network operation platform for network fault mitigation | |
Krishnamurthy et al. | Scalable anomaly detection and isolation in cyber-physical systems using bayesian networks | |
WO2009090939A1 (ja) | ネットワーク異常検出装置及び方法 | |
JP6280862B2 (ja) | イベント分析システムおよび方法 | |
EP3699708B1 (en) | Production facility monitoring device, production facility monitoring method, and production facility monitoring program | |
EP4075726B1 (en) | Unified multi-agent system for abnormality detection and isolation | |
JP7311350B2 (ja) | 監視装置、監視方法、および監視プログラム | |
US11343266B2 (en) | Self-certified security for assured cyber-physical systems | |
CN111260176A (zh) | 用于排除技术设施中的故障状况的方法和系统 | |
CN112840616A (zh) | 用于工业控制系统入侵检测的混合无监督机器学习框架 | |
CN106575282A (zh) | 用于先进过程控制的云计算系统和方法 | |
CN112219175A (zh) | 用于管理技术安装的方法和系统 | |
JP7427574B2 (ja) | 状態診断装置、及び状態診断方法 | |
Aliyari | Securing industrial infrastructure against cyber-attacks using machine learning and artificial intelligence at the age of industry 4.0 | |
JP6972429B1 (ja) | プラント管理方法及びプラント設計装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230215 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20231018 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20231024 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231128 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240109 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240124 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7427574 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |