JPWO2019142264A1 - 攻撃検知装置 - Google Patents
攻撃検知装置 Download PDFInfo
- Publication number
- JPWO2019142264A1 JPWO2019142264A1 JP2019566030A JP2019566030A JPWO2019142264A1 JP WO2019142264 A1 JPWO2019142264 A1 JP WO2019142264A1 JP 2019566030 A JP2019566030 A JP 2019566030A JP 2019566030 A JP2019566030 A JP 2019566030A JP WO2019142264 A1 JPWO2019142264 A1 JP WO2019142264A1
- Authority
- JP
- Japan
- Prior art keywords
- state
- attack
- communication information
- rule
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/02—Knowledge representation; Symbolic representation
- G06N5/022—Knowledge engineering; Knowledge acquisition
- G06N5/025—Extracting rules from data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mathematical Physics (AREA)
- Evolutionary Computation (AREA)
- Data Mining & Analysis (AREA)
- Computational Linguistics (AREA)
- Artificial Intelligence (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
モデル生成部(112)は、監視対象を計測して得られた複数の計測値に基づいて、監視対象の状態別の計測値を示す状態モデルを生成する。統合部(114)は、複数の計測値が得られた時間帯に監視対象によって通信された複数の通信データに基づいて、監視対象の状態別の通信情報を示す検知ルールを生成する。攻撃検知部(115)は、状態モデルと検知ルールとを用いて、新たな通信データが攻撃データであるか判定する。
Description
本発明は、サイバー攻撃を検知する技術に関するものである。
近年、制御システムがネットワークに接続されるケースが増大している。そして、制御システムがサイバー攻撃の標的になるケースが増加している。
そこで、サイバー攻撃による攻撃を検知するために、監視制御装置などの装置に攻撃検知機能を搭載することが検討されている。
そこで、サイバー攻撃による攻撃を検知するために、監視制御装置などの装置に攻撃検知機能を搭載することが検討されている。
従来の攻撃検知機能は、制御システムのネットワーク通信が固定的であることを利用して検知ルールが定義される、検知ルールには、送信先アドレスと送信元アドレスとの組およびプロトコル等、許可される通信の情報が記載される。
また、正常な通信の組み合わせによる攻撃および運転員の不正操作による攻撃の対策として、システム状態に着目した検知システムが開発されている。
また、正常な通信の組み合わせによる攻撃および運転員の不正操作による攻撃の対策として、システム状態に着目した検知システムが開発されている。
特許文献1では、システム状態を通知するパケットによってシステム状態に対応した正常な通信パターンを確認することが提案されている。
特許文献1の提案では、サーバ装置およびコントローラから状態通知パケットが送信され、システム状態が把握される。そして、システム状態に応じた通信パターンに基づいて侵入および攻撃が検知される。
つまり、状態通知パケットを送信する機能をサーバ装置およびコントローラに組み込む要がある。
そのため、特許文献1で提案されている技術の導入は、システム全体で機能の追加または改修が必要であるという点で困難である。
つまり、状態通知パケットを送信する機能をサーバ装置およびコントローラに組み込む要がある。
そのため、特許文献1で提案されている技術の導入は、システム全体で機能の追加または改修が必要であるという点で困難である。
本発明は、状態の通知を受けなくてもサイバー攻撃を検知できるようにすることを目的とする。
本発明の攻撃検知装置は、
監視対象を計測して得られた複数の計測値に基づいて、前記監視対象の状態別の計測値を示す状態モデルを生成するモデル生成部と、
前記複数の計測値が得られた時間帯に前記監視対象によって通信された複数の通信データに基づいて、前記監視対象の状態別の通信情報を示す検知ルールを生成するルール生成部と、
前記状態モデルと前記検知ルールとを用いて、新たな通信データが攻撃データであるか判定する攻撃検知部とを備える。
監視対象を計測して得られた複数の計測値に基づいて、前記監視対象の状態別の計測値を示す状態モデルを生成するモデル生成部と、
前記複数の計測値が得られた時間帯に前記監視対象によって通信された複数の通信データに基づいて、前記監視対象の状態別の通信情報を示す検知ルールを生成するルール生成部と、
前記状態モデルと前記検知ルールとを用いて、新たな通信データが攻撃データであるか判定する攻撃検知部とを備える。
本発明によれば、状態モデルが生成されるため、状態の通知を受けなくてもサイバー攻撃を検知することができる。
実施の形態および図面において、同じ要素および対応する要素には同じ符号を付している。同じ符号が付された要素の説明は適宜に省略または簡略化する。図中の矢印はデータの流れ又は処理の流れを主に示している。
実施の形態1.
サイバー攻撃を検知する形態について、図1から図16に基づいて説明する。
サイバー攻撃を検知する形態について、図1から図16に基づいて説明する。
***構成の説明***
図1に基づいて、監視制御システム200の構成を説明する。
監視制御システム200は、監視対象202の監視および監視対象202の制御を行うシステムである。
図1に基づいて、監視制御システム200の構成を説明する。
監視制御システム200は、監視対象202の監視および監視対象202の制御を行うシステムである。
監視制御システム200は、監視制御装置100と監視対象202とを備える。
監視制御装置100と監視対象202とはネットワーク201を介して互いに通信を行う。
具体的には、監視制御装置100は、監視対象202を制御するための制御値を監視対象202へ送信する。監視対象202は制御値に従って動作する。監視対象202には複数のセンサが取り付けられ、複数のセンサによって各種の計測が行われる。そして、監視対象202は、各種の計測によって得られた各種の計測値を監視制御装置100へ送信する。
監視制御装置100と監視対象202とはネットワーク201を介して互いに通信を行う。
具体的には、監視制御装置100は、監視対象202を制御するための制御値を監視対象202へ送信する。監視対象202は制御値に従って動作する。監視対象202には複数のセンサが取り付けられ、複数のセンサによって各種の計測が行われる。そして、監視対象202は、各種の計測によって得られた各種の計測値を監視制御装置100へ送信する。
監視対象202の具体例はプラント210である。
図2に基づいて、監視対象202がプラント210である場合の監視制御システム200の構成を説明する。
図2において、監視制御システム200は、監視制御装置100とプラント210とを備える。
監視制御装置100は情報系ネットワーク221と制御系ネットワーク222とに接続され、プラント210は制御系ネットワーク222に接続される。
情報系ネットワーク221は、オフィス内で利用されるネットワークである。
制御系ネットワーク222は、制御値および計測値が通信されるネットワークである。
図2に基づいて、監視対象202がプラント210である場合の監視制御システム200の構成を説明する。
図2において、監視制御システム200は、監視制御装置100とプラント210とを備える。
監視制御装置100は情報系ネットワーク221と制御系ネットワーク222とに接続され、プラント210は制御系ネットワーク222に接続される。
情報系ネットワーク221は、オフィス内で利用されるネットワークである。
制御系ネットワーク222は、制御値および計測値が通信されるネットワークである。
プラント210は、コントローラ211とフィールドネットワーク212とフィールドデバイス213とを備える。
フィールドネットワーク212は、コントローラ211とフィールドデバイス213との間で制御値および計測値を通信するためのネットワークである。
フィールドネットワーク212は、コントローラ211とフィールドデバイス213との間で制御値および計測値を通信するためのネットワークである。
図1に戻り、監視制御システム200の説明を続ける。
監視制御装置100は、監視制御システム200に対する攻撃を検知する機能を有する。つまり、監視制御装置100は、さらに、攻撃検知装置として機能する。そして、監視制御システム200は、さらに、攻撃検知システムとして機能する。
監視制御装置100は、監視制御システム200に対する攻撃を検知する機能を有する。つまり、監視制御装置100は、さらに、攻撃検知装置として機能する。そして、監視制御システム200は、さらに、攻撃検知システムとして機能する。
図3に基づいて、監視制御装置100の構成を説明する。
監視制御装置100は、プロセッサ101とメモリ102と補助記憶装置103と通信装置104と入出力インタフェース105といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。
監視制御装置100は、プロセッサ101とメモリ102と補助記憶装置103と通信装置104と入出力インタフェース105といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。
プロセッサ101は、演算処理を行うIC(Integrated Circuit)であり、他のハードウェアを制御する。例えば、プロセッサ101は、CPU(Central Processing Unit)、DSP(Digital Signal Processor)、またはGPU(Graphics Processing Unit)である。
メモリ102は揮発性の記憶装置である。メモリ102は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ102はRAM(Random Access Memory)である。メモリ102に記憶されたデータは必要に応じて補助記憶装置103に保存される。
補助記憶装置103は不揮発性の記憶装置である。例えば、補助記憶装置103は、ROM(Read Only Memory)、HDD(Hard Disk Drive)、またはフラッシュメモリである。補助記憶装置103に記憶されたデータは必要に応じてメモリ102にロードされる。
通信装置104はレシーバ及びトランスミッタである。例えば、通信装置104は通信チップまたはNIC(Network Interface Card)である。
入出力インタフェース105は入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース105はUSB端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。USBはUniversal Serial Busの略称である。
メモリ102は揮発性の記憶装置である。メモリ102は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ102はRAM(Random Access Memory)である。メモリ102に記憶されたデータは必要に応じて補助記憶装置103に保存される。
補助記憶装置103は不揮発性の記憶装置である。例えば、補助記憶装置103は、ROM(Read Only Memory)、HDD(Hard Disk Drive)、またはフラッシュメモリである。補助記憶装置103に記憶されたデータは必要に応じてメモリ102にロードされる。
通信装置104はレシーバ及びトランスミッタである。例えば、通信装置104は通信チップまたはNIC(Network Interface Card)である。
入出力インタフェース105は入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース105はUSB端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。USBはUniversal Serial Busの略称である。
監視制御装置100は、データ管理部111とモデル生成部112とルール生成部113と統合部114と攻撃検知部115と警告部116といった要素を備える。これらの要素はソフトウェアで実現される。
補助記憶装置103には、データ管理部111としてコンピュータを機能させるための監視制御プログラムが記憶されている。
さらに、補助記憶装置103には、モデル生成部112とルール生成部113と統合部114と攻撃検知部115と警告部116としてコンピュータを機能させるための攻撃検知プログラムが記憶されている。
監視制御プログラムおよび攻撃検知プログラムは、メモリ102にロードされて、プロセッサ101によって実行される。
さらに、補助記憶装置103にはOS(Operating System)が記憶されている。OSの少なくとも一部は、メモリ102にロードされて、プロセッサ101によって実行される。
つまり、プロセッサ101は、OSを実行しながら、監視制御プログラムと攻撃検知プログラムとを実行する。
監視制御プログラムまたは攻撃検知プログラムを実行して得られるデータは、メモリ102、補助記憶装置103、プロセッサ101内のレジスタまたはプロセッサ101内のキャッシュメモリといった記憶装置に記憶される。
さらに、補助記憶装置103には、モデル生成部112とルール生成部113と統合部114と攻撃検知部115と警告部116としてコンピュータを機能させるための攻撃検知プログラムが記憶されている。
監視制御プログラムおよび攻撃検知プログラムは、メモリ102にロードされて、プロセッサ101によって実行される。
さらに、補助記憶装置103にはOS(Operating System)が記憶されている。OSの少なくとも一部は、メモリ102にロードされて、プロセッサ101によって実行される。
つまり、プロセッサ101は、OSを実行しながら、監視制御プログラムと攻撃検知プログラムとを実行する。
監視制御プログラムまたは攻撃検知プログラムを実行して得られるデータは、メモリ102、補助記憶装置103、プロセッサ101内のレジスタまたはプロセッサ101内のキャッシュメモリといった記憶装置に記憶される。
メモリ102は記憶部121として機能する。但し、他の記憶装置が、メモリ102の代わりに、又は、メモリ102と共に、記憶部121として機能してもよい。
通信装置104は通信部122として機能する。
入出力インタフェース105は受付部123と表示部124として機能する。
記憶部121、通信部122、受付部123および表示部124は、監視制御プログラムおよび攻撃検知プログラムによって制御される。つまり、監視制御プログラムと攻撃検知プログラムとのそれぞれは、さらに、記憶部121と通信部122と受付部123と表示部124としてコンピュータを機能させる。
通信装置104は通信部122として機能する。
入出力インタフェース105は受付部123と表示部124として機能する。
記憶部121、通信部122、受付部123および表示部124は、監視制御プログラムおよび攻撃検知プログラムによって制御される。つまり、監視制御プログラムと攻撃検知プログラムとのそれぞれは、さらに、記憶部121と通信部122と受付部123と表示部124としてコンピュータを機能させる。
監視制御装置100は、プロセッサ101を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ101の役割を分担する。
監視制御プログラムおよび攻撃検知プログラムは、光ディスクまたはフラッシュメモリ等の不揮発性の記録媒体にコンピュータで読み取り可能に記録(格納)することができる。
図4に基づいて、記憶部121に記憶される主なデータを説明する。
記憶部121には、主に、制御データ131と計測データ132と通信データ133と状態モデル134と検知ルール135とが記憶される。
制御データ131は、制御値を含んだデータである。
計測データ132は、計測値を含んだデータである。
通信データ133は、監視対象202によって通信されたデータである。
状態モデル134および検知ルール135は、攻撃データを検知するために用いられる。攻撃データは、監視制御システム200を攻撃するための通信データ133である。
記憶部121には、主に、制御データ131と計測データ132と通信データ133と状態モデル134と検知ルール135とが記憶される。
制御データ131は、制御値を含んだデータである。
計測データ132は、計測値を含んだデータである。
通信データ133は、監視対象202によって通信されたデータである。
状態モデル134および検知ルール135は、攻撃データを検知するために用いられる。攻撃データは、監視制御システム200を攻撃するための通信データ133である。
***動作の説明***
監視制御装置100の動作は監視制御方法と攻撃検知方法とに相当する。また、監視制御方法の手順は監視制御プログラムの手順に相当し、攻撃検知方法の手順は攻撃検知プログラムの手順に相当する。
監視制御装置100の動作は監視制御方法と攻撃検知方法とに相当する。また、監視制御方法の手順は監視制御プログラムの手順に相当し、攻撃検知方法の手順は攻撃検知プログラムの手順に相当する。
図5に基づいて、監視制御方法(入力)を説明する。
監視制御方法(入力)は、監視制御装置100に操作入力データが入力された場合の手順である。
監視制御方法(入力)は、監視制御装置100に操作入力データが入力された場合の手順である。
操作入力データは、制御種類と制御値とを含む。
制御種類は、監視対象202に対する制御の種類である。プラント210に対する制御種類の一例は、圧力およびバルブ開閉である。
制御値は、監視対象202に対する制御の目標値である。プラント210に対する制御値の一例は、圧力の目標値およびバルブ開度の目標値である。
制御種類は、監視対象202に対する制御の種類である。プラント210に対する制御種類の一例は、圧力およびバルブ開閉である。
制御値は、監視対象202に対する制御の目標値である。プラント210に対する制御値の一例は、圧力の目標値およびバルブ開度の目標値である。
ステップS101において、受付部123は、監視制御装置100に入力された操作入力データを受け付ける。
ステップS102において、データ管理部111は、操作入力データに基づいて制御データ131を生成し、生成した制御データ131を記憶部121に記憶する。
制御データ131は、制御種類と制御値と時刻とを含む。
制御データ131は、制御種類と制御値と時刻とを含む。
ステップS103において、データ管理部111は、制御値を含んだ通信データ133を生成する。そして、通信部122は、通信データ133を監視対象202へ送信する。
また、データ管理部111は、生成した通信データ133を記憶部121に記憶する。
また、データ管理部111は、生成した通信データ133を記憶部121に記憶する。
図5の監視制御方法(入力)は、監視制御装置100に操作入力データが入力される毎に実行される。
図6に基づいて、監視制御方法(受信)を説明する。
監視制御方法(受信)は、監視対象202から監視制御装置100に通信データ133が到達した場合の手順である。
監視制御方法(受信)は、監視対象202から監視制御装置100に通信データ133が到達した場合の手順である。
監視対象202からの通信データ133は計測種類と計測値とを含む。
計測種類は、監視対象202に対する計測の種類である。プラント210に対する計測種類の一例は、圧力およびバルブ開閉である。
計測値は、監視対象202を計測して得られた値である。プラント210における計測値の一例は、圧力およびバルブ開度である。
計測種類は、監視対象202に対する計測の種類である。プラント210に対する計測種類の一例は、圧力およびバルブ開閉である。
計測値は、監視対象202を計測して得られた値である。プラント210における計測値の一例は、圧力およびバルブ開度である。
ステップS111において、通信部122は、監視制御装置100に到達した通信データ133を受信する。
ステップS112において、データ管理部111は、通信データ133を記憶部121に記憶する。
ステップS113において、データ管理部111は、通信データ133に基づいて計測データ132を生成し、生成した計測データ132を記憶部121に記憶する。
計測データ132は、計測種類と計測値と時刻とを含む。
計測データ132は、計測種類と計測値と時刻とを含む。
図6の監視制御方法(受信)は、監視対象202から監視制御装置100に通信データ133が到達する毎に実行される。
監視制御方法(表示)を説明する。
監視制御方法(表示)において、データ管理部111は、制御データ131と計測データ132とを記憶部121から読み出し、制御データ131と計測データ132とを表示部124に入力する。そして、表示部124は、制御データ131と計測データ132とをディスプレイに表示する。
監視制御方法(表示)において、データ管理部111は、制御データ131と計測データ132とを記憶部121から読み出し、制御データ131と計測データ132とを表示部124に入力する。そして、表示部124は、制御データ131と計測データ132とをディスプレイに表示する。
図7に基づいて、攻撃検知方法を説明する。
ステップS210において、モデル生成部112は、複数の制御値と複数の計測値とに基づいて、状態モデル134を生成する。
状態モデル134は、監視対象202の状態別の値ペアを示す。
値ペアは、制御値と計測値との組である。
ステップS210において、モデル生成部112は、複数の制御値と複数の計測値とに基づいて、状態モデル134を生成する。
状態モデル134は、監視対象202の状態別の値ペアを示す。
値ペアは、制御値と計測値との組である。
具体的には、モデル生成部112は状態モデル134を以下のように生成する。
モデル生成部112は、複数の制御値と複数の計測値とから得られる複数の値ペアをグループ分けしてグループ毎に状態を定義する。
モデル生成部112は、複数の制御値と複数の計測値とから得られる複数の値ペアをグループ分けしてグループ毎に状態を定義する。
ステップS210において、ルール生成部113は、複数の制御値と複数の計測値とが得られた時間帯に監視対象202によって通信された複数の通信データ133に基づいて、検知ルール135を生成する。
検知ルール135は、監視対象202の状態別の通信情報を示す。通信情報については後述する。
検知ルール135は、監視対象202の状態別の通信情報を示す。通信情報については後述する。
具体的には、ルール生成部113は検知ルール135を以下のように生成する。
まず、ルール生成部113は、複数の通信データ133の各通信データ133が得られたときの値ペアに基づいて状態モデル134から状態を取得する。
さらに、ルール生成部113は、各通信データ133から通信情報を取得する。
そして、ルール生成部113は、取得した状態と取得した通信情報とを互いに対応付けて検知ルール135に登録する。
まず、ルール生成部113は、複数の通信データ133の各通信データ133が得られたときの値ペアに基づいて状態モデル134から状態を取得する。
さらに、ルール生成部113は、各通信データ133から通信情報を取得する。
そして、ルール生成部113は、取得した状態と取得した通信情報とを互いに対応付けて検知ルール135に登録する。
図8に基づいて、生成処理(S210)の手順を説明する。
ステップS211において、オペレータは、着目種類を決定し、着目種類を監視制御装置100に入力する。
そして、受付部123は、監視制御装置100に入力された着目種類を受け付ける。
着目種類は、状態モデル134と検知ルール135とを生成するために参照される種類である。
ステップS211において、オペレータは、着目種類を決定し、着目種類を監視制御装置100に入力する。
そして、受付部123は、監視制御装置100に入力された着目種類を受け付ける。
着目種類は、状態モデル134と検知ルール135とを生成するために参照される種類である。
ステップS212からステップS218は繰り返し実行される。
ステップS212において、モデル生成部112は、着目種類の現在の値ペアを記憶部121から取得する。
具体的には、モデル生成部112は着目種類の現在の値ペアを以下のように取得する。
モデル生成部112は、着目種類と同じ制御種類を含んだ制御データ131を選択し、選択した制御データ131から最新の制御データ131を選択する。そして、制御データ131は、選択した最新の制御データ131から制御値を取得する。
さらに、モデル生成部112は、着目種類と同じ計測種類を含んだ計測データ132を選択し、選択した計測データ132から最新の計測データ132を選択する。そして、計測データ132は、選択した最新の計測データ132から計測値を取得する。
取得された制御値と取得された計測値との組が着目種類の現在の値ペアである。
モデル生成部112は、着目種類と同じ制御種類を含んだ制御データ131を選択し、選択した制御データ131から最新の制御データ131を選択する。そして、制御データ131は、選択した最新の制御データ131から制御値を取得する。
さらに、モデル生成部112は、着目種類と同じ計測種類を含んだ計測データ132を選択し、選択した計測データ132から最新の計測データ132を選択する。そして、計測データ132は、選択した最新の計測データ132から計測値を取得する。
取得された制御値と取得された計測値との組が着目種類の現在の値ペアである。
ステップS213において、モデル生成部112は、着目種類の現在の値ペアに基づいて、状態モデル134を更新する。
具体的には、モデル生成部112は状態モデル134を以下のように更新する。
まず、モデル生成部112は、着目種類の現在の値ペアをプロットグラフ141にプロットする。
まず、モデル生成部112は、着目種類の現在の値ペアをプロットグラフ141にプロットする。
図9に、プロットグラフ141の一例を示す。
プロットグラフ141は、1つ以上の値ペアがプロットされたグラフである。横軸が制御値を示し、縦軸が計測値を示す。
プロットグラフ141は、1つ以上の値ペアがプロットされたグラフである。横軸が制御値を示し、縦軸が計測値を示す。
次に、モデル生成部112は、プロットグラフ141に基づいて線形モデル142を更新する。
図10に、線形モデル142の一例を示す。
線形モデル142は、プロットグラフ141に対応する1つ以上の線グラフである。
図10において、線形モデル142は2つの線グラフを含んでいる。各線グラフは式で定義される。例えば、第1の線グラフは「y=ax+b」という式で定義され、第2の線グラフは「y=cx+d」という式で定義される。
線形モデル142は、プロットグラフ141に対応する1つ以上の線グラフである。
図10において、線形モデル142は2つの線グラフを含んでいる。各線グラフは式で定義される。例えば、第1の線グラフは「y=ax+b」という式で定義され、第2の線グラフは「y=cx+d」という式で定義される。
そして、モデル生成部112は、線形モデル142に基づいて状態モデル134を更新する。
具体的には、モデル生成部112は、線形モデル142に含まれる値ペアの範囲を複数の範囲に分割し、範囲ごとに状態を定義する。
具体的には、モデル生成部112は、線形モデル142に含まれる値ペアの範囲を複数の範囲に分割し、範囲ごとに状態を定義する。
図11に、状態モデル134の一例を示す。
図11において、状態モデル134は4つの状態を含んでいる。
状態(1)の範囲は、制御値がαより小さく計測値がβより小さい範囲である。
状態(2)の範囲は、制御値がαより大きく計測値がβより小さい範囲である。
状態(3)の範囲は、制御値がαより小さく計測値がβより大きい範囲である。
状態(4)の範囲は、制御値がαより大きく計測値がβより大きい範囲である。
図11において、状態モデル134は4つの状態を含んでいる。
状態(1)の範囲は、制御値がαより小さく計測値がβより小さい範囲である。
状態(2)の範囲は、制御値がαより大きく計測値がβより小さい範囲である。
状態(3)の範囲は、制御値がαより小さく計測値がβより大きい範囲である。
状態(4)の範囲は、制御値がαより大きく計測値がβより大きい範囲である。
図8に戻り、ステップS214から説明を続ける。
ステップS214において、ルール生成部113は、状態モデル134から現在の状態を取得する。
具体的には、ルール生成部113は、着目種類の現在の値ペアが属する範囲を状態モデル134から選択し、選択した範囲に定義された状態を状態モデル134から取得する。取得される状態が現在の状態である。
ステップS214において、ルール生成部113は、状態モデル134から現在の状態を取得する。
具体的には、ルール生成部113は、着目種類の現在の値ペアが属する範囲を状態モデル134から選択し、選択した範囲に定義された状態を状態モデル134から取得する。取得される状態が現在の状態である。
ステップS215において、ルール生成部113は、新たな通信データ133が有るか判定する。
1回目のステップS215における新たな通信データ133は、生成処理(S210)の開始後の時刻を含んだ通信データ133である。
2回目以降のステップS215における新たな通信データ133は、前回のステップS215後の時刻を含んだ通信データ133である。
新たな通信データ133が有る場合、処理はステップS216に進む。
新たな通信データ133が無い場合、処理はステップS218に進む。
1回目のステップS215における新たな通信データ133は、生成処理(S210)の開始後の時刻を含んだ通信データ133である。
2回目以降のステップS215における新たな通信データ133は、前回のステップS215後の時刻を含んだ通信データ133である。
新たな通信データ133が有る場合、処理はステップS216に進む。
新たな通信データ133が無い場合、処理はステップS218に進む。
ステップS216において、ルール生成部113は、新たな通信データ133から通信情報を取得する。
具体的には、通信データ133は、通信情報が設定されたヘッダを有する。そして、ルール生成部113は、通信データ133のヘッダから通信情報を取得する。
具体的には、通信データ133は、通信情報が設定されたヘッダを有する。そして、ルール生成部113は、通信データ133のヘッダから通信情報を取得する。
ステップS217において、ルール生成部113は、現在の状態に対応付けて通信情報を検知ルール135に登録する。
図12に、検知ルール135の一例を示す。
検知ルール135は、状態と通信情報とを互いに対応付ける。
通信情報は、通信の特徴を示す情報である。
図12において、通信情報は、プロトコル種別と送信元/送信先とデータ長とペイロード条件と周期条件とを含んでいる。
プロトコル種別は、通信プロトコルを識別する。
送信元/送信先は、送信元アドレスと送信先アドレスとの組である。
データ長は、ペイロードのサイズである。
ペイロード条件は、コマンドの種類または設定値の範囲などを示す。
周期条件は、同じ種類の通信データ133が発生する周期を示す。
検知ルール135は、状態と通信情報とを互いに対応付ける。
通信情報は、通信の特徴を示す情報である。
図12において、通信情報は、プロトコル種別と送信元/送信先とデータ長とペイロード条件と周期条件とを含んでいる。
プロトコル種別は、通信プロトコルを識別する。
送信元/送信先は、送信元アドレスと送信先アドレスとの組である。
データ長は、ペイロードのサイズである。
ペイロード条件は、コマンドの種類または設定値の範囲などを示す。
周期条件は、同じ種類の通信データ133が発生する周期を示す。
図8に戻り、ステップS218から説明を続ける。
ステップS218において、モデル生成部112は、生成処理(S210)を終了するか判定する。
例えば、モデル生成部112は、予め決められた処理時間の経過、監視制御装置100への生成終了命令の入力または監視対象202の運用時間の終了などに基づいて、生成処理(S210)の終了を判定する。
生成処理(S210)を終了しない場合、処理はステップS212に進む。
ステップS218において、モデル生成部112は、生成処理(S210)を終了するか判定する。
例えば、モデル生成部112は、予め決められた処理時間の経過、監視制御装置100への生成終了命令の入力または監視対象202の運用時間の終了などに基づいて、生成処理(S210)の終了を判定する。
生成処理(S210)を終了しない場合、処理はステップS212に進む。
図7に戻り、ステップS220を続ける。
ステップS220において、統合部114は、状態モデル134と検知ルール135とを最適化する。
ステップS220において、統合部114は、状態モデル134と検知ルール135とを最適化する。
具体的には、統合部114は、通信情報が互いに一致する複数の状態が検知ルール135に存在する場合に状態モデル134と検知ルール135とのそれぞれにおいて複数の状態を1つの状態に統合する。
統合処理(S220)の手順を説明する。
まず、統合部114は、通信情報が互いに一致する複数の状態が検知ルール135に存在するか判定する。ここで、通信情報が互いに一致する複数の状態を、該当する複数の状態と呼ぶ。
該当する複数の状態が検知ルール135に存在する場合、統合部114は、該当する複数の状態を状態モデル134から選択し、選択した複数の状態を1つの状態に統合する。さらに、統合部114は、該当する複数の状態を検知ルール135から選択し、選択した複数の状態を1つの状態に統合する。
まず、統合部114は、通信情報が互いに一致する複数の状態が検知ルール135に存在するか判定する。ここで、通信情報が互いに一致する複数の状態を、該当する複数の状態と呼ぶ。
該当する複数の状態が検知ルール135に存在する場合、統合部114は、該当する複数の状態を状態モデル134から選択し、選択した複数の状態を1つの状態に統合する。さらに、統合部114は、該当する複数の状態を検知ルール135から選択し、選択した複数の状態を1つの状態に統合する。
図12において、状態(1)の通信情報は1つであり、状態(2)の通信情報は2つである。つまり、状態(1)と状態(2)とは通信情報の数が互いに一致しない。
したがって、統合部114は、状態(1)と状態(2)とを1つの状態に統合しない。
したがって、統合部114は、状態(1)と状態(2)とを1つの状態に統合しない。
図13に、検知ルール135の一例を示す。
図13において、状態(1)の通信情報は1つであり、状態(2)の通信情報は1つである。つまり、状態(1)と状態(2)とは通信情報の数が互いに一致する。
さらに、状態(1)と状態(2)とは通信情報の内容が互いに一致する。
したがって、統合部114は、状態(1)と状態(2)とを1つの状態に統合する。
図13において、状態(1)の通信情報は1つであり、状態(2)の通信情報は1つである。つまり、状態(1)と状態(2)とは通信情報の数が互いに一致する。
さらに、状態(1)と状態(2)とは通信情報の内容が互いに一致する。
したがって、統合部114は、状態(1)と状態(2)とを1つの状態に統合する。
図14に、図13の検知ルール135を最適化して得られる検知ルール135を示す。
状態(U1)は、状態(1)と状態(2)とが統合された状態を意味する。
状態(1)の通信情報と状態(2)の通信情報とは、状態(U1)の通信情報に統合されている。
状態(U1)は、状態(1)と状態(2)とが統合された状態を意味する。
状態(1)の通信情報と状態(2)の通信情報とは、状態(U1)の通信情報に統合されている。
図15に、図11の状態モデル134を最適化して得られる状態モデル134を示す。
状態(1)の範囲と状態(2)の範囲とは、状態(U1)の範囲に統合されている。
状態(U1)の範囲は、計測値がβより小さい範囲である。
状態(1)の範囲と状態(2)の範囲とは、状態(U1)の範囲に統合されている。
状態(U1)の範囲は、計測値がβより小さい範囲である。
図7に戻り、ステップS230を説明する。
ステップS230において、攻撃検知部115は、状態モデル134と検知ルール135とを用いて、攻撃データを検知する。
つまり、攻撃検知部115は、状態モデル134と検知ルール135とを用いて、新たな通信データ133が攻撃データであるか判定する。
ステップS230における新たな通信データ133は、ステップS230の実行中に通信された通信データ133である。
ステップS230において、攻撃検知部115は、状態モデル134と検知ルール135とを用いて、攻撃データを検知する。
つまり、攻撃検知部115は、状態モデル134と検知ルール135とを用いて、新たな通信データ133が攻撃データであるか判定する。
ステップS230における新たな通信データ133は、ステップS230の実行中に通信された通信データ133である。
具体的には、攻撃検知部115は、攻撃の通信データ133を以下のように検知する。
まず、攻撃検知部115は、新たな通信データ133が通信された時間帯に計測された計測値に対応する状態を状態モデル134から選択する。
次に、攻撃検知部115は、選択した状態に対応する通信情報を検知ルール135から選択する。
次に、攻撃検知部115は、選択した通信情報と新たな通信データ133の通信情報を比較する。
そして、新たな通信データ133の通信情報が選択した通信情報と一致しない場合に、攻撃検知部115は、新たな通信データ133が攻撃データであると判定する。
まず、攻撃検知部115は、新たな通信データ133が通信された時間帯に計測された計測値に対応する状態を状態モデル134から選択する。
次に、攻撃検知部115は、選択した状態に対応する通信情報を検知ルール135から選択する。
次に、攻撃検知部115は、選択した通信情報と新たな通信データ133の通信情報を比較する。
そして、新たな通信データ133の通信情報が選択した通信情報と一致しない場合に、攻撃検知部115は、新たな通信データ133が攻撃データであると判定する。
図16に基づいて、攻撃検知処理(S230)の手順を説明する。
攻撃検知処理(S230)は繰り返し実行される。
攻撃検知処理(S230)は繰り返し実行される。
ステップS231において、攻撃検知部115は、状態モデル134から現在の状態を取得する。
具体的には、攻撃検知部115は、現在の状態を以下のように取得する。
まず、攻撃検知部115は、着目種類の現在の値ペアを記憶部121から取得する。この着目種類は、図3の生成処理(S210)における着目種類と同じである。つまり、この着目種類は、状態モデル134の生成に用いられた着目種類である。また、着目種類の現在の値ペアを取得する方法は、ステップS212(図3参照)における方法と同じである。
そして、攻撃検知部115は、着目種類の現在の値ペアに基づいて、状態モデル134から現在の状態を取得する。現在の状態を取得する方法は、ステップS214(図3参照)における方法と同じである。
まず、攻撃検知部115は、着目種類の現在の値ペアを記憶部121から取得する。この着目種類は、図3の生成処理(S210)における着目種類と同じである。つまり、この着目種類は、状態モデル134の生成に用いられた着目種類である。また、着目種類の現在の値ペアを取得する方法は、ステップS212(図3参照)における方法と同じである。
そして、攻撃検知部115は、着目種類の現在の値ペアに基づいて、状態モデル134から現在の状態を取得する。現在の状態を取得する方法は、ステップS214(図3参照)における方法と同じである。
ステップS232において、攻撃検知部115は、検知ルール135から通信情報を取得する。
具体的には、攻撃検知部115は、現在の状態と同じ状態に対応する通信情報を検知ルール135から取得する。
ステップS232で取得される通信情報を検知ルール135の通信情報と呼ぶ。
具体的には、攻撃検知部115は、現在の状態と同じ状態に対応する通信情報を検知ルール135から取得する。
ステップS232で取得される通信情報を検知ルール135の通信情報と呼ぶ。
ステップS233において、攻撃検知部115は、新たな通信データ133が有るか判定する。
ステップS233における新たな通信データ133は、攻撃検知処理(S230)の開始後の時刻を含んだ通信データ133である。
新たな通信データ133が有る場合、処理はステップS234に進む。
新たな通信データ133が無い場合、攻撃検知処理(S230)は終了する。その後、攻撃検知処理(S230)は新たに実行される。
ステップS233における新たな通信データ133は、攻撃検知処理(S230)の開始後の時刻を含んだ通信データ133である。
新たな通信データ133が有る場合、処理はステップS234に進む。
新たな通信データ133が無い場合、攻撃検知処理(S230)は終了する。その後、攻撃検知処理(S230)は新たに実行される。
ステップS234において、攻撃検知部115は、新たな通信データ133から通信情報を取得する。
ステップS234で取得される通信情報を新たな通信データ133の通信情報と呼ぶ。
ステップS234で取得される通信情報を新たな通信データ133の通信情報と呼ぶ。
ステップS235において、攻撃検知部115は、新たな通信データ133の通信情報を検知ルール135の通信情報と比較する。
新たな通信データ133の通信情報が検知ルール135の通信情報と一致する場合、攻撃検知処理(S230)は終了する。その後、攻撃検知処理(S230)は新たに実行される。
新たな通信データ133の通信情報が検知ルール135の通信情報と一致しない場合、処理はステップS236に進む。
新たな通信データ133の通信情報が検知ルール135の通信情報と一致する場合、攻撃検知処理(S230)は終了する。その後、攻撃検知処理(S230)は新たに実行される。
新たな通信データ133の通信情報が検知ルール135の通信情報と一致しない場合、処理はステップS236に進む。
ステップS236において、警告部116は警告を出力する。
具体的には、警告部116は、表示部124を介して、警告用のメッセージをディスプレイに表示する。つまり、警告部116は、警告用のメッセージを表示部124に入力する。そして、表示部124は、警告用のメッセージをディスプレイに表示する。但し、警告部116は、警告用の音声をスピーカから出力させる、または、警告用のランプを点灯させる等の方法によって、警告を出力してもよい。
具体的には、警告部116は、表示部124を介して、警告用のメッセージをディスプレイに表示する。つまり、警告部116は、警告用のメッセージを表示部124に入力する。そして、表示部124は、警告用のメッセージをディスプレイに表示する。但し、警告部116は、警告用の音声をスピーカから出力させる、または、警告用のランプを点灯させる等の方法によって、警告を出力してもよい。
ステップS236の後、攻撃検知処理(S230)は終了する。その後、攻撃検知処理(S230)は新たに実行される。
***実施の形態1の効果***
状態の通知を受けなくてもサイバー攻撃を検知することができる。
状態の通知を受けなくてもサイバー攻撃を検知することができる。
監視制御装置100は、制御値と計測値とを元に、プラント210の状態を自動で定義する。また、監視制御装置100は、状態の定義に合わせて検知ルール135を自動で生成する。
そのため、監視制御装置100をシステムに導入すれば、機能追加および改修を行わなくても、サイバー攻撃を検知することができる。
そのため、監視制御装置100をシステムに導入すれば、機能追加および改修を行わなくても、サイバー攻撃を検知することができる。
監視制御装置100は、制御に応じて変化するプラント210の挙動を制御値と計測値とに基づいて状態として定義することができる。
そのため、人間、人間の操作または通信経過時間といった運用面の情報に基づく状態ではなく、制御の実態に合った細かな状態によって、高精度な検知が可能である。
そのため、人間、人間の操作または通信経過時間といった運用面の情報に基づく状態ではなく、制御の実態に合った細かな状態によって、高精度な検知が可能である。
状態モデル134と検知ルール135とを生成するために、オペレータは着目種類を選択知ればよい。
つまり、オペレータによる複雑な設定を必要とせずに、攻撃を検知することができる。
つまり、オペレータによる複雑な設定を必要とせずに、攻撃を検知することができる。
監視制御装置100は、必要最小限の検知ルールに基づいて、攻撃を検知する。
そのため、監視制御装置100は、高性能な計算リソースと膨大な検知ルールとを必要としない。
そのため、監視制御装置100は、高性能な計算リソースと膨大な検知ルールとを必要としない。
監視制御装置100は、状態モデル134によって状態を定義する。
これにより、通信データ133を用いた攻撃だけでなく、制御値または計測値の異常を状態モデル134に基づいて検知することも可能である。
これにより、通信データ133を用いた攻撃だけでなく、制御値または計測値の異常を状態モデル134に基づいて検知することも可能である。
監視制御装置100は、状態を判定し、状態に対応する検知ルールを通信データ133に適用する。
そのため、攻撃者に乗っ取られたコンピュータから、通信シーケンスに従った通信を伴う攻撃が行われた場合でも、その攻撃を検知することができる。
そのため、攻撃者に乗っ取られたコンピュータから、通信シーケンスに従った通信を伴う攻撃が行われた場合でも、その攻撃を検知することができる。
監視制御装置100は、リモート端末以外の各種の端末からの攻撃であっても、ネットワークを介する攻撃を検知することができる。
監視制御装置100は、状態通知パケットを使用せず、制御値と計測値との関係性を元に状態を定義する。
そのため、実施の形態1は状態通知パケットを改ざんするような攻撃の対策となる。
そのため、実施の形態1は状態通知パケットを改ざんするような攻撃の対策となる。
***他の構成***
監視制御装置100以外の装置が攻撃検知装置として機能してもよい。
監視制御装置100以外の装置が攻撃検知装置として機能してもよい。
モデル生成部112は、制御データ131と計測データ132とのいずれか一方に基づいて、状態モデル134を生成してもよい。
具体的には、モデル生成部112は、複数の計測値に基づいて状態モデル134を生成する。この場合、モデル生成部112は、複数の計測値をグループ分けしてグループ毎に状態を定義する。
具体的には、モデル生成部112は、複数の制御値に基づいて状態モデル134を生成する。この場合、モデル生成部112は、複数の制御値をグループ分けしてグループ毎に状態を定義する。
例えば、モデル生成部112は、複数の計測値または複数の制御値を時間帯毎にグループ分けする。
具体的には、モデル生成部112は、複数の計測値に基づいて状態モデル134を生成する。この場合、モデル生成部112は、複数の計測値をグループ分けしてグループ毎に状態を定義する。
具体的には、モデル生成部112は、複数の制御値に基づいて状態モデル134を生成する。この場合、モデル生成部112は、複数の制御値をグループ分けしてグループ毎に状態を定義する。
例えば、モデル生成部112は、複数の計測値または複数の制御値を時間帯毎にグループ分けする。
ルール生成部113は、制御データ131と計測データ132とのいずれか一方に基づいて、検知ルール135を生成してもよい。
具体的には、ルール生成部113は、複数の計測値が得られた時間帯に監視対象202によって通信された複数の通信データ133に基づいて検知ルール135を生成する。この場合、ルール生成部113は、複数の通信データ133の各通信データ133が得られたときの計測値に基づいて状態モデル134から状態を取得する。さらに、ルール生成部113は、各通信データ133から通信情報を取得する。そして、ルール生成部113は、取得した状態と取得した通信情報とを互いに対応付けて検知ルール135に登録する。
具体的には、ルール生成部113は、複数の制御値が得られた時間帯に監視対象202によって通信された複数の通信データ133に基づいて検知ルール135を生成する。この場合、ルール生成部113は、複数の通信データ133の各通信データ133が得られたときの制御値に基づいて状態モデル134から状態を取得する。さらに、ルール生成部113は、各通信データ133から通信情報を取得する。そして、ルール生成部113は、取得した状態と取得した通信情報とを互いに対応付けて検知ルール135に登録する。
具体的には、ルール生成部113は、複数の計測値が得られた時間帯に監視対象202によって通信された複数の通信データ133に基づいて検知ルール135を生成する。この場合、ルール生成部113は、複数の通信データ133の各通信データ133が得られたときの計測値に基づいて状態モデル134から状態を取得する。さらに、ルール生成部113は、各通信データ133から通信情報を取得する。そして、ルール生成部113は、取得した状態と取得した通信情報とを互いに対応付けて検知ルール135に登録する。
具体的には、ルール生成部113は、複数の制御値が得られた時間帯に監視対象202によって通信された複数の通信データ133に基づいて検知ルール135を生成する。この場合、ルール生成部113は、複数の通信データ133の各通信データ133が得られたときの制御値に基づいて状態モデル134から状態を取得する。さらに、ルール生成部113は、各通信データ133から通信情報を取得する。そして、ルール生成部113は、取得した状態と取得した通信情報とを互いに対応付けて検知ルール135に登録する。
実施の形態2.
実施の形態1における方法とは異なる方法で検知ルール135を生成する形態について、主に実施の形態1と異なる点を図17から図20に基づいて説明する。
実施の形態1における方法とは異なる方法で検知ルール135を生成する形態について、主に実施の形態1と異なる点を図17から図20に基づいて説明する。
***構成の説明***
監視制御システム200の構成は、実施の形態1における構成と同じである(図1および図2参照)。
監視制御装置100の構成は、実施の形態1における構成と同じである(図3参照)。
監視制御システム200の構成は、実施の形態1における構成と同じである(図1および図2参照)。
監視制御装置100の構成は、実施の形態1における構成と同じである(図3参照)。
***動作の説明***
監視制御方法は、実施の形態1における方法と同じである(図5および図6参照)。
監視制御方法は、実施の形態1における方法と同じである(図5および図6参照)。
図17に基づいて、攻撃検知方法を説明する。
ステップS300において、モデル生成部112は、実施の形態1における方法と同じ方法で状態モデル134を生成する。
また、ルール生成部113は、実施の形態1における方法とは異なる方法で検知ルール135を生成する。
ステップS300において、モデル生成部112は、実施の形態1における方法と同じ方法で状態モデル134を生成する。
また、ルール生成部113は、実施の形態1における方法とは異なる方法で検知ルール135を生成する。
具体的には、ルール生成部113は、検知ルール135を以下のように生成する。
ルール生成部113は、各通信データ133から取得した通信情報と同じ通信情報が通信情報リスト136に有るか判定する。通信情報リスト136については後述する。
各通信データ133から取得した通信情報と同じ通信情報が通信情報リスト136に有る場合に、ルール生成部113は、取得した状態と取得した通信情報とを互いに対応付けて検知ルール135に登録する。
ルール生成部113は、各通信データ133から取得した通信情報と同じ通信情報が通信情報リスト136に有るか判定する。通信情報リスト136については後述する。
各通信データ133から取得した通信情報と同じ通信情報が通信情報リスト136に有る場合に、ルール生成部113は、取得した状態と取得した通信情報とを互いに対応付けて検知ルール135に登録する。
ステップS220およびステップS230は、実施の形態1で説明した通りである(図7参照)。
図18に基づいて、生成処理(S300)を説明する。
ステップS301において、オペレータは、通信情報リスト136を生成し、生成した通信情報リスト136を監視制御装置100に入力する。
受付部123は通信情報リスト136を受け付け、データ管理部111は通信情報リスト136を記憶部121に記憶する。
ステップS301において、オペレータは、通信情報リスト136を生成し、生成した通信情報リスト136を監視制御装置100に入力する。
受付部123は通信情報リスト136を受け付け、データ管理部111は通信情報リスト136を記憶部121に記憶する。
図19に、通信情報リスト136の一例を示す。
通信情報リスト136は、正当な通信データ133の通信情報のリストである。つまり、通信情報リスト136は、正当な通信情報のリストである。
通信情報リスト136は、検知ルール135(図12参照)から状態の欄を削除して得られるデータに相当する。
通信情報リスト136は、正当な通信データ133の通信情報のリストである。つまり、通信情報リスト136は、正当な通信情報のリストである。
通信情報リスト136は、検知ルール135(図12参照)から状態の欄を削除して得られるデータに相当する。
ステップS311において、受付部123は、監視制御装置100に入力された着目種類を受け付ける。
ステップS311は、実施の形態1におけるステップS211と同じである(図8参照)。
ステップS311は、実施の形態1におけるステップS211と同じである(図8参照)。
ステップS312において、モデル生成部112は、着目種類の現在の値ペアを記憶部121から取得する。
ステップS312は、実施の形態1におけるステップS212と同じである(図8参照)。
ステップS312は、実施の形態1におけるステップS212と同じである(図8参照)。
ステップS313において、モデル生成部112は、着目種類の現在の値ペアに基づいて、状態モデル134を更新する。
ステップS313は、実施の形態1におけるステップS313と同じである(図8参照)。
ステップS313は、実施の形態1におけるステップS313と同じである(図8参照)。
ステップS314において、ルール生成部113は、状態モデル134から現在の状態を取得する。
ステップS314は、実施の形態1におけるステップS214と同じである(図8参照)。
ステップS314は、実施の形態1におけるステップS214と同じである(図8参照)。
ステップS315において、ルール生成部113は、新たな通信データ133が有るか判定する。
ステップS315は、実施の形態1におけるステップS215と同じである(図8参照)。
新たな通信データ133が有る場合、処理はステップS320に進む。
新たな通信データ133が無い場合、処理はステップS316に進む。
ステップS315は、実施の形態1におけるステップS215と同じである(図8参照)。
新たな通信データ133が有る場合、処理はステップS320に進む。
新たな通信データ133が無い場合、処理はステップS316に進む。
ステップS320において、ルール生成部113は、新たな通信データ133と通信情報リスト136とに基づいて、検知ルール135を更新する。
ステップS320の手順について後述する。
ステップS320の手順について後述する。
ステップS316において、モデル生成部112は、生成処理(S300)を終了するか判定する。
ステップS316は、実施の形態1におけるステップS218と同じである(図8参照)。
ステップS316は、実施の形態1におけるステップS218と同じである(図8参照)。
図20に基づいて、検知ルール生成処理(S320)の手順を説明する。
ステップS321において、ルール生成部113は、新たな通信データ133から通信情報を取得する。
具体的には、通信データ133は、通信情報が設定されたヘッダを有する。そして、ルール生成部113は、通信データ133のヘッダから通信情報を取得する。
ステップS321で取得される通信情報を新たな通信データ133の通信情報と呼ぶ。
ステップS321において、ルール生成部113は、新たな通信データ133から通信情報を取得する。
具体的には、通信データ133は、通信情報が設定されたヘッダを有する。そして、ルール生成部113は、通信データ133のヘッダから通信情報を取得する。
ステップS321で取得される通信情報を新たな通信データ133の通信情報と呼ぶ。
ステップS322において、ルール生成部113は、通信情報リスト136を検索することによって、新たな通信データ133の通信情報と同じ通信情報が通信情報リスト136に有るか判定する。
新たな通信データ133の通信情報と同じ通信情報が通信情報リスト136に有る場合、処理はステップS323に進む。
新たな通信データ133の通信情報と同じ通信情報が通信情報リスト136に無い場合、処理はステップS324に進む。
新たな通信データ133の通信情報と同じ通信情報が通信情報リスト136に有る場合、処理はステップS323に進む。
新たな通信データ133の通信情報と同じ通信情報が通信情報リスト136に無い場合、処理はステップS324に進む。
ステップS323において、ルール生成部113は、現在の状態に対応付けて新たな通信データ133の通信情報を検知ルール135に登録する。
ステップS324において、警告部116は警告を出力する。
ステップS324は、実施の形態1におけるステップS236と同じである(図16参照)。
ステップS324は、実施の形態1におけるステップS236と同じである(図16参照)。
***実施の形態2の効果***
監視制御装置100は、正当な通信情報に基づいて、状態に応じた検知ルールを自動で生成する。これにより、高精度な検知が実現される。
さらに、監視制御装置100は、検知ルールの生成時にも攻撃を検知できる。
監視制御装置100は、正当な通信情報に基づいて、状態に応じた検知ルールを自動で生成する。これにより、高精度な検知が実現される。
さらに、監視制御装置100は、検知ルールの生成時にも攻撃を検知できる。
***実施の形態の補足***
図21に基づいて、監視制御装置100のハードウェア構成を説明する。
監視制御装置100は処理回路109を備える。
処理回路109は、データ管理部111とモデル生成部112とルール生成部113と統合部114と攻撃検知部115と警告部116と記憶部121とを実現するハードウェアである。
処理回路109は、専用のハードウェアであってもよいし、メモリ102に格納されるプログラムを実行するプロセッサ101であってもよい。
図21に基づいて、監視制御装置100のハードウェア構成を説明する。
監視制御装置100は処理回路109を備える。
処理回路109は、データ管理部111とモデル生成部112とルール生成部113と統合部114と攻撃検知部115と警告部116と記憶部121とを実現するハードウェアである。
処理回路109は、専用のハードウェアであってもよいし、メモリ102に格納されるプログラムを実行するプロセッサ101であってもよい。
処理回路109が専用のハードウェアである場合、処理回路109は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC、FPGAまたはこれらの組み合わせである。
ASICはApplication Specific Integrated Circuitの略称であり、FPGAはField Programmable Gate Arrayの略称である。
監視制御装置100は、処理回路109を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路109の役割を分担する。
ASICはApplication Specific Integrated Circuitの略称であり、FPGAはField Programmable Gate Arrayの略称である。
監視制御装置100は、処理回路109を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路109の役割を分担する。
監視制御装置100において、一部の機能が専用のハードウェアで実現されて、残りの機能がソフトウェアまたはファームウェアで実現されてもよい。
このように、処理回路109はハードウェア、ソフトウェア、ファームウェアまたはこれらの組み合わせで実現することができる。
実施の形態は、好ましい形態の例示であり、本発明の技術的範囲を制限することを意図するものではない。実施の形態は、部分的に実施してもよいし、他の形態と組み合わせて実施してもよい。フローチャート等を用いて説明した手順は、適宜に変更してもよい。
100 監視制御装置、101 プロセッサ、102 メモリ、103 補助記憶装置、104 通信装置、105 入出力インタフェース、109 処理回路、111 データ管理部、112 モデル生成部、113 ルール生成部、114 統合部、115 攻撃検知部、116 警告部、121 記憶部、122 通信部、123 受付部、124 表示部、131 制御データ、132 計測データ、133 通信データ、134 状態モデル、135 検知ルール、136 通信情報リスト、141 プロットグラフ、142 線形モデル、200 監視制御システム、201 ネットワーク、202 監視対象、210 プラント、211 コントローラ、212 フィールドネットワーク、213 フィールドデバイス、221 情報系ネットワーク、222 制御系ネットワーク。
Claims (10)
- 監視対象を計測して得られた複数の計測値に基づいて、前記監視対象の状態別の計測値を示す状態モデルを生成するモデル生成部と、
前記複数の計測値が得られた時間帯に前記監視対象によって通信された複数の通信データに基づいて、前記監視対象の状態別の通信情報を示す検知ルールを生成するルール生成部と、
前記状態モデルと前記検知ルールとを用いて、新たな通信データが攻撃データであるか判定する攻撃検知部と
を備える攻撃検知装置。 - 前記モデル生成部は、前記複数の計測値をグループ分けしてグループ毎に状態を定義することによって前記状態モデルを生成する
請求項1に記載の攻撃検知装置。 - 前記モデル生成部は、前記複数の計測値と前記監視対象に対する複数の制御値とに基づいて、前記状態モデルを生成する
前記ルール生成部は、前記複数の制御値と前記複数の計測値とが得られた時間帯に前記監視対象によって通信された複数の通信データに基づいて、前記検知ルールを生成する
請求項1に記載の攻撃検知装置。 - 前記モデル生成部は、前記複数の制御値と前記複数の計測値とから得られる複数の値ペアをグループ分けしてグループ毎に状態を定義することによって前記状態モデルを生成する
請求項3に記載の攻撃検知装置。 - 前記ルール生成部は、前記複数の通信データの各通信データが得られたときの計測値に基づいて前記状態モデルから状態を取得し、各通信データから通信情報を取得し、取得した状態と取得した通信情報とを互いに対応付けて前記検知ルールに登録する
請求項1から請求項4のいずれか1項に記載の攻撃検知装置。 - 前記ルール生成部は、取得した通信情報と同じ通信情報が通信情報リストに有る場合に、取得した状態と取得した通信情報とを互いに対応付けて前記検知ルールに登録する
請求項5に記載の攻撃検知装置。 - 前記攻撃検知部は、前記新たな通信データが通信された時間帯に計測された計測値に対応する状態を前記状態モデルから選択し、選択した状態に対応する通信情報を前記検知ルールから選択し、選択した通信情報と前記新たな通信データの通信情報を比較し、前記新たな通信データの通信情報が前記選択した通信情報と一致しない場合に前記新たな通信データが前記攻撃データであると判定する
請求項1から請求項6のいずれか1項に記載の攻撃検知装置。 - 前記攻撃検知装置は、通信情報が互いに一致する複数の状態が前記検知ルールに存在する場合に前記状態モデルと前記検知ルールとのそれぞれにおいて前記複数の状態を1つの状態に統合する統合部を備え、
前記攻撃検知部は、前記複数の状態が前記1つの状態に統合された場合に、統合後の状態モデルと統合後の検知ルールとを用いて、前記攻撃の通信データを検知する
請求項1から請求項7のいずれか1項に記載の攻撃検知装置。 - モデル生成部が、監視対象を計測して得られた複数の計測値に基づいて、前記監視対象の状態別の計測値を示す状態モデルを生成し、
ルール生成部が、前記複数の計測値が得られた時間帯に前記監視対象によって通信された複数の通信データに基づいて、前記監視対象の状態別の通信情報を示す検知ルールを生成し、
攻撃検知部が、前記状態モデルと前記検知ルールとを用いて、新たな通信データが攻撃データであるか判定する
攻撃検知方法。 - 監視対象を計測して得られた複数の計測値に基づいて、前記監視対象の状態別の計測値を示す状態モデルを生成するモデル生成処理と、
前記複数の計測値が得られた時間帯に前記監視対象によって通信された複数の通信データに基づいて、前記監視対象の状態別の通信情報を示す検知ルールを生成するルール生成処理と、
前記状態モデルと前記検知ルールとを用いて、新たな通信データが攻撃データであるか判定する攻撃検知処理と
をコンピュータに実行させるための攻撃検知プログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2018/001223 WO2019142264A1 (ja) | 2018-01-17 | 2018-01-17 | 攻撃検知装置、攻撃検知方法および攻撃検知プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2019142264A1 true JPWO2019142264A1 (ja) | 2020-05-28 |
| JP6749508B2 JP6749508B2 (ja) | 2020-09-02 |
Family
ID=67301068
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019566030A Active JP6749508B2 (ja) | 2018-01-17 | 2018-01-17 | 攻撃検知装置 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20200279174A1 (ja) |
| EP (1) | EP3731122B1 (ja) |
| JP (1) | JP6749508B2 (ja) |
| KR (1) | KR102253213B1 (ja) |
| CN (1) | CN111566643B (ja) |
| WO (1) | WO2019142264A1 (ja) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010191556A (ja) * | 2009-02-17 | 2010-09-02 | Hitachi Ltd | 異常検知方法及び異常検知システム |
| WO2014155650A1 (ja) * | 2013-03-29 | 2014-10-02 | 株式会社日立製作所 | 情報制御装置、情報制御システム、及び情報制御方法 |
| JP2015103218A (ja) * | 2013-11-28 | 2015-06-04 | 株式会社日立製作所 | プラントの診断装置及び診断方法 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4826831B2 (ja) * | 2008-03-06 | 2011-11-30 | 日本電気株式会社 | 障害検知装置、障害検知方法及びそのプログラム |
| US9258217B2 (en) * | 2008-12-16 | 2016-02-09 | At&T Intellectual Property I, L.P. | Systems and methods for rule-based anomaly detection on IP network flow |
| JP5331774B2 (ja) * | 2010-10-22 | 2013-10-30 | 株式会社日立パワーソリューションズ | 設備状態監視方法およびその装置並びに設備状態監視用プログラム |
| FR2967273B1 (fr) * | 2010-11-10 | 2013-06-28 | Commissariat Energie Atomique | Dispositif de detection a capteur, procede de detection et programme d'ordinateur correspondants |
| WO2013123385A1 (en) * | 2012-02-15 | 2013-08-22 | Rolls-Royce Corporation | Gas turbine engine performance seeking control |
| JP6026313B2 (ja) | 2013-02-18 | 2016-11-16 | 京楽産業.株式会社 | 遊技機 |
| JP5715288B1 (ja) * | 2014-08-26 | 2015-05-07 | 株式会社日立パワーソリューションズ | 動態監視装置及び動態監視方法 |
| US9660994B2 (en) * | 2014-09-30 | 2017-05-23 | Schneider Electric USA, Inc. | SCADA intrusion detection systems |
| US20170167287A1 (en) * | 2015-12-09 | 2017-06-15 | General Electric Company | Calibrated Turbine Engine Shaft Torque Sensing |
| US10027699B2 (en) * | 2016-03-10 | 2018-07-17 | Siemens Aktiengesellschaft | Production process knowledge-based intrusion detection for industrial control systems |
| CN106405492A (zh) * | 2016-08-31 | 2017-02-15 | 广西科技大学 | 基于声波和无线定位的移动目标检测方法 |
| CN106358286A (zh) * | 2016-08-31 | 2017-01-25 | 广西科技大学 | 基于声波和无线定位的移动目标检测方法 |
| WO2018193571A1 (ja) * | 2017-04-20 | 2018-10-25 | 日本電気株式会社 | 機器管理システム、モデル学習方法およびモデル学習プログラム |
| US10805317B2 (en) * | 2017-06-15 | 2020-10-13 | Microsoft Technology Licensing, Llc | Implementing network security measures in response to a detected cyber attack |
-
2018
- 2018-01-17 EP EP18901608.2A patent/EP3731122B1/en active Active
- 2018-01-17 CN CN201880084979.1A patent/CN111566643B/zh active Active
- 2018-01-17 WO PCT/JP2018/001223 patent/WO2019142264A1/ja unknown
- 2018-01-17 JP JP2019566030A patent/JP6749508B2/ja active Active
- 2018-01-17 US US16/764,554 patent/US20200279174A1/en not_active Abandoned
- 2018-01-17 KR KR1020207019552A patent/KR102253213B1/ko active IP Right Grant
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010191556A (ja) * | 2009-02-17 | 2010-09-02 | Hitachi Ltd | 異常検知方法及び異常検知システム |
| WO2014155650A1 (ja) * | 2013-03-29 | 2014-10-02 | 株式会社日立製作所 | 情報制御装置、情報制御システム、及び情報制御方法 |
| JP2015103218A (ja) * | 2013-11-28 | 2015-06-04 | 株式会社日立製作所 | プラントの診断装置及び診断方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111566643A (zh) | 2020-08-21 |
| CN111566643B (zh) | 2023-08-08 |
| KR20200088492A (ko) | 2020-07-22 |
| WO2019142264A1 (ja) | 2019-07-25 |
| EP3731122B1 (en) | 2021-09-01 |
| JP6749508B2 (ja) | 2020-09-02 |
| EP3731122A1 (en) | 2020-10-28 |
| EP3731122A4 (en) | 2020-12-09 |
| US20200279174A1 (en) | 2020-09-03 |
| KR102253213B1 (ko) | 2021-05-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6968145B2 (ja) | システム呼び出しのシーケンスを用いた異常検出 | |
| JP2018005818A (ja) | 異常検知システム及び異常検知方法 | |
| TWI636374B (zh) | Intrusion detection device and intrusion detection program product | |
| CN107864675B (zh) | 使用iot传感器融合的关键工业解决方案的认知保护 | |
| US20170331787A1 (en) | Unauthorized communication detection system and unauthorized communication detection method | |
| WO2020135755A1 (zh) | 车辆攻击检测方法及装置 | |
| EP3206367A1 (en) | Techniques for detecting attacks in a publish-subscribe network | |
| JPWO2020137847A1 (ja) | アタックツリー生成装置、アタックツリー生成方法およびアタックツリー生成プログラム | |
| JP6749508B2 (ja) | 攻撃検知装置 | |
| US20220182260A1 (en) | Detecting anomalies on a controller area network bus | |
| JP2019022099A (ja) | セキュリティポリシー情報管理システム、セキュリティポリシー情報管理方法、及びプログラム | |
| WO2017099062A1 (ja) | 診断装置、診断方法、及び、診断プログラムが記録された記録媒体 | |
| JP6863290B2 (ja) | 診断装置、診断方法、及び、診断プログラム | |
| JP7176630B2 (ja) | 検知装置、検知方法および検知プログラム | |
| JP2018156561A (ja) | ソフトウェア評価プログラム、ソフトウェア評価方法、及び情報処理装置 | |
| US11592811B2 (en) | Methods and apparatuses for defining authorization rules for peripheral devices based on peripheral device categorization | |
| WO2022153410A1 (ja) | 改竄検知装置、改竄検知方法および改竄検知プログラム | |
| US20230208866A1 (en) | Attack detection apparatus and method based on measurement of networking behavior abnormalities in symbolic spaces | |
| JP7343440B2 (ja) | 性能プロファイリング | |
| US11822651B2 (en) | Adversarial resilient malware detector randomization method and devices | |
| JP6646494B2 (ja) | 監視装置、監視方法、及びプログラム | |
| CN114564701A (zh) | 一种基于系统白名单的病毒防护系统 | |
| JPWO2019058489A1 (ja) | アラート頻度制御装置およびアラート頻度制御プログラム | |
| JP2019530066A (ja) | コンピュータシステムのためのプログラマブルセキュリティユニットを実装するための方法、装置およびプログラム | |
| TW201207659A (en) | Systems and methods for detecting network worms in an environment of an industry control system, and computer program products thereof |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200212 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200212 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20200212 |
|
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20200311 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200317 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200410 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200714 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200811 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6749508 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |