JPWO2019142264A1 - 攻撃検知装置 - Google Patents
攻撃検知装置 Download PDFInfo
- Publication number
- JPWO2019142264A1 JPWO2019142264A1 JP2019566030A JP2019566030A JPWO2019142264A1 JP WO2019142264 A1 JPWO2019142264 A1 JP WO2019142264A1 JP 2019566030 A JP2019566030 A JP 2019566030A JP 2019566030 A JP2019566030 A JP 2019566030A JP WO2019142264 A1 JPWO2019142264 A1 JP WO2019142264A1
- Authority
- JP
- Japan
- Prior art keywords
- state
- attack
- communication information
- rule
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/02—Knowledge representation; Symbolic representation
- G06N5/022—Knowledge engineering; Knowledge acquisition
- G06N5/025—Extracting rules from data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mathematical Physics (AREA)
- Evolutionary Computation (AREA)
- Data Mining & Analysis (AREA)
- Computational Linguistics (AREA)
- Artificial Intelligence (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
そこで、サイバー攻撃による攻撃を検知するために、監視制御装置などの装置に攻撃検知機能を搭載することが検討されている。
また、正常な通信の組み合わせによる攻撃および運転員の不正操作による攻撃の対策として、システム状態に着目した検知システムが開発されている。
つまり、状態通知パケットを送信する機能をサーバ装置およびコントローラに組み込む要がある。
そのため、特許文献1で提案されている技術の導入は、システム全体で機能の追加または改修が必要であるという点で困難である。
監視対象を計測して得られた複数の計測値に基づいて、前記監視対象の状態別の計測値を示す状態モデルを生成するモデル生成部と、
前記複数の計測値が得られた時間帯に前記監視対象によって通信された複数の通信データに基づいて、前記監視対象の状態別の通信情報を示す検知ルールを生成するルール生成部と、
前記状態モデルと前記検知ルールとを用いて、新たな通信データが攻撃データであるか判定する攻撃検知部とを備える。
サイバー攻撃を検知する形態について、図1から図16に基づいて説明する。
図1に基づいて、監視制御システム200の構成を説明する。
監視制御システム200は、監視対象202の監視および監視対象202の制御を行うシステムである。
監視制御装置100と監視対象202とはネットワーク201を介して互いに通信を行う。
具体的には、監視制御装置100は、監視対象202を制御するための制御値を監視対象202へ送信する。監視対象202は制御値に従って動作する。監視対象202には複数のセンサが取り付けられ、複数のセンサによって各種の計測が行われる。そして、監視対象202は、各種の計測によって得られた各種の計測値を監視制御装置100へ送信する。
図2に基づいて、監視対象202がプラント210である場合の監視制御システム200の構成を説明する。
図2において、監視制御システム200は、監視制御装置100とプラント210とを備える。
監視制御装置100は情報系ネットワーク221と制御系ネットワーク222とに接続され、プラント210は制御系ネットワーク222に接続される。
情報系ネットワーク221は、オフィス内で利用されるネットワークである。
制御系ネットワーク222は、制御値および計測値が通信されるネットワークである。
フィールドネットワーク212は、コントローラ211とフィールドデバイス213との間で制御値および計測値を通信するためのネットワークである。
監視制御装置100は、監視制御システム200に対する攻撃を検知する機能を有する。つまり、監視制御装置100は、さらに、攻撃検知装置として機能する。そして、監視制御システム200は、さらに、攻撃検知システムとして機能する。
監視制御装置100は、プロセッサ101とメモリ102と補助記憶装置103と通信装置104と入出力インタフェース105といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。
メモリ102は揮発性の記憶装置である。メモリ102は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ102はRAM(Random Access Memory)である。メモリ102に記憶されたデータは必要に応じて補助記憶装置103に保存される。
補助記憶装置103は不揮発性の記憶装置である。例えば、補助記憶装置103は、ROM(Read Only Memory)、HDD(Hard Disk Drive)、またはフラッシュメモリである。補助記憶装置103に記憶されたデータは必要に応じてメモリ102にロードされる。
通信装置104はレシーバ及びトランスミッタである。例えば、通信装置104は通信チップまたはNIC(Network Interface Card)である。
入出力インタフェース105は入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース105はUSB端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。USBはUniversal Serial Busの略称である。
さらに、補助記憶装置103には、モデル生成部112とルール生成部113と統合部114と攻撃検知部115と警告部116としてコンピュータを機能させるための攻撃検知プログラムが記憶されている。
監視制御プログラムおよび攻撃検知プログラムは、メモリ102にロードされて、プロセッサ101によって実行される。
さらに、補助記憶装置103にはOS(Operating System)が記憶されている。OSの少なくとも一部は、メモリ102にロードされて、プロセッサ101によって実行される。
つまり、プロセッサ101は、OSを実行しながら、監視制御プログラムと攻撃検知プログラムとを実行する。
監視制御プログラムまたは攻撃検知プログラムを実行して得られるデータは、メモリ102、補助記憶装置103、プロセッサ101内のレジスタまたはプロセッサ101内のキャッシュメモリといった記憶装置に記憶される。
通信装置104は通信部122として機能する。
入出力インタフェース105は受付部123と表示部124として機能する。
記憶部121、通信部122、受付部123および表示部124は、監視制御プログラムおよび攻撃検知プログラムによって制御される。つまり、監視制御プログラムと攻撃検知プログラムとのそれぞれは、さらに、記憶部121と通信部122と受付部123と表示部124としてコンピュータを機能させる。
記憶部121には、主に、制御データ131と計測データ132と通信データ133と状態モデル134と検知ルール135とが記憶される。
制御データ131は、制御値を含んだデータである。
計測データ132は、計測値を含んだデータである。
通信データ133は、監視対象202によって通信されたデータである。
状態モデル134および検知ルール135は、攻撃データを検知するために用いられる。攻撃データは、監視制御システム200を攻撃するための通信データ133である。
監視制御装置100の動作は監視制御方法と攻撃検知方法とに相当する。また、監視制御方法の手順は監視制御プログラムの手順に相当し、攻撃検知方法の手順は攻撃検知プログラムの手順に相当する。
監視制御方法(入力)は、監視制御装置100に操作入力データが入力された場合の手順である。
制御種類は、監視対象202に対する制御の種類である。プラント210に対する制御種類の一例は、圧力およびバルブ開閉である。
制御値は、監視対象202に対する制御の目標値である。プラント210に対する制御値の一例は、圧力の目標値およびバルブ開度の目標値である。
制御データ131は、制御種類と制御値と時刻とを含む。
また、データ管理部111は、生成した通信データ133を記憶部121に記憶する。
監視制御方法(受信)は、監視対象202から監視制御装置100に通信データ133が到達した場合の手順である。
計測種類は、監視対象202に対する計測の種類である。プラント210に対する計測種類の一例は、圧力およびバルブ開閉である。
計測値は、監視対象202を計測して得られた値である。プラント210における計測値の一例は、圧力およびバルブ開度である。
計測データ132は、計測種類と計測値と時刻とを含む。
監視制御方法(表示)において、データ管理部111は、制御データ131と計測データ132とを記憶部121から読み出し、制御データ131と計測データ132とを表示部124に入力する。そして、表示部124は、制御データ131と計測データ132とをディスプレイに表示する。
ステップS210において、モデル生成部112は、複数の制御値と複数の計測値とに基づいて、状態モデル134を生成する。
状態モデル134は、監視対象202の状態別の値ペアを示す。
値ペアは、制御値と計測値との組である。
モデル生成部112は、複数の制御値と複数の計測値とから得られる複数の値ペアをグループ分けしてグループ毎に状態を定義する。
検知ルール135は、監視対象202の状態別の通信情報を示す。通信情報については後述する。
まず、ルール生成部113は、複数の通信データ133の各通信データ133が得られたときの値ペアに基づいて状態モデル134から状態を取得する。
さらに、ルール生成部113は、各通信データ133から通信情報を取得する。
そして、ルール生成部113は、取得した状態と取得した通信情報とを互いに対応付けて検知ルール135に登録する。
ステップS211において、オペレータは、着目種類を決定し、着目種類を監視制御装置100に入力する。
そして、受付部123は、監視制御装置100に入力された着目種類を受け付ける。
着目種類は、状態モデル134と検知ルール135とを生成するために参照される種類である。
モデル生成部112は、着目種類と同じ制御種類を含んだ制御データ131を選択し、選択した制御データ131から最新の制御データ131を選択する。そして、制御データ131は、選択した最新の制御データ131から制御値を取得する。
さらに、モデル生成部112は、着目種類と同じ計測種類を含んだ計測データ132を選択し、選択した計測データ132から最新の計測データ132を選択する。そして、計測データ132は、選択した最新の計測データ132から計測値を取得する。
取得された制御値と取得された計測値との組が着目種類の現在の値ペアである。
まず、モデル生成部112は、着目種類の現在の値ペアをプロットグラフ141にプロットする。
プロットグラフ141は、1つ以上の値ペアがプロットされたグラフである。横軸が制御値を示し、縦軸が計測値を示す。
線形モデル142は、プロットグラフ141に対応する1つ以上の線グラフである。
図10において、線形モデル142は2つの線グラフを含んでいる。各線グラフは式で定義される。例えば、第1の線グラフは「y=ax+b」という式で定義され、第2の線グラフは「y=cx+d」という式で定義される。
具体的には、モデル生成部112は、線形モデル142に含まれる値ペアの範囲を複数の範囲に分割し、範囲ごとに状態を定義する。
図11において、状態モデル134は4つの状態を含んでいる。
状態(1)の範囲は、制御値がαより小さく計測値がβより小さい範囲である。
状態(2)の範囲は、制御値がαより大きく計測値がβより小さい範囲である。
状態(3)の範囲は、制御値がαより小さく計測値がβより大きい範囲である。
状態(4)の範囲は、制御値がαより大きく計測値がβより大きい範囲である。
ステップS214において、ルール生成部113は、状態モデル134から現在の状態を取得する。
具体的には、ルール生成部113は、着目種類の現在の値ペアが属する範囲を状態モデル134から選択し、選択した範囲に定義された状態を状態モデル134から取得する。取得される状態が現在の状態である。
1回目のステップS215における新たな通信データ133は、生成処理(S210)の開始後の時刻を含んだ通信データ133である。
2回目以降のステップS215における新たな通信データ133は、前回のステップS215後の時刻を含んだ通信データ133である。
新たな通信データ133が有る場合、処理はステップS216に進む。
新たな通信データ133が無い場合、処理はステップS218に進む。
具体的には、通信データ133は、通信情報が設定されたヘッダを有する。そして、ルール生成部113は、通信データ133のヘッダから通信情報を取得する。
検知ルール135は、状態と通信情報とを互いに対応付ける。
通信情報は、通信の特徴を示す情報である。
図12において、通信情報は、プロトコル種別と送信元/送信先とデータ長とペイロード条件と周期条件とを含んでいる。
プロトコル種別は、通信プロトコルを識別する。
送信元/送信先は、送信元アドレスと送信先アドレスとの組である。
データ長は、ペイロードのサイズである。
ペイロード条件は、コマンドの種類または設定値の範囲などを示す。
周期条件は、同じ種類の通信データ133が発生する周期を示す。
ステップS218において、モデル生成部112は、生成処理(S210)を終了するか判定する。
例えば、モデル生成部112は、予め決められた処理時間の経過、監視制御装置100への生成終了命令の入力または監視対象202の運用時間の終了などに基づいて、生成処理(S210)の終了を判定する。
生成処理(S210)を終了しない場合、処理はステップS212に進む。
ステップS220において、統合部114は、状態モデル134と検知ルール135とを最適化する。
まず、統合部114は、通信情報が互いに一致する複数の状態が検知ルール135に存在するか判定する。ここで、通信情報が互いに一致する複数の状態を、該当する複数の状態と呼ぶ。
該当する複数の状態が検知ルール135に存在する場合、統合部114は、該当する複数の状態を状態モデル134から選択し、選択した複数の状態を1つの状態に統合する。さらに、統合部114は、該当する複数の状態を検知ルール135から選択し、選択した複数の状態を1つの状態に統合する。
したがって、統合部114は、状態(1)と状態(2)とを1つの状態に統合しない。
図13において、状態(1)の通信情報は1つであり、状態(2)の通信情報は1つである。つまり、状態(1)と状態(2)とは通信情報の数が互いに一致する。
さらに、状態(1)と状態(2)とは通信情報の内容が互いに一致する。
したがって、統合部114は、状態(1)と状態(2)とを1つの状態に統合する。
状態(U1)は、状態(1)と状態(2)とが統合された状態を意味する。
状態(1)の通信情報と状態(2)の通信情報とは、状態(U1)の通信情報に統合されている。
状態(1)の範囲と状態(2)の範囲とは、状態(U1)の範囲に統合されている。
状態(U1)の範囲は、計測値がβより小さい範囲である。
ステップS230において、攻撃検知部115は、状態モデル134と検知ルール135とを用いて、攻撃データを検知する。
つまり、攻撃検知部115は、状態モデル134と検知ルール135とを用いて、新たな通信データ133が攻撃データであるか判定する。
ステップS230における新たな通信データ133は、ステップS230の実行中に通信された通信データ133である。
まず、攻撃検知部115は、新たな通信データ133が通信された時間帯に計測された計測値に対応する状態を状態モデル134から選択する。
次に、攻撃検知部115は、選択した状態に対応する通信情報を検知ルール135から選択する。
次に、攻撃検知部115は、選択した通信情報と新たな通信データ133の通信情報を比較する。
そして、新たな通信データ133の通信情報が選択した通信情報と一致しない場合に、攻撃検知部115は、新たな通信データ133が攻撃データであると判定する。
攻撃検知処理(S230)は繰り返し実行される。
まず、攻撃検知部115は、着目種類の現在の値ペアを記憶部121から取得する。この着目種類は、図3の生成処理(S210)における着目種類と同じである。つまり、この着目種類は、状態モデル134の生成に用いられた着目種類である。また、着目種類の現在の値ペアを取得する方法は、ステップS212(図3参照)における方法と同じである。
そして、攻撃検知部115は、着目種類の現在の値ペアに基づいて、状態モデル134から現在の状態を取得する。現在の状態を取得する方法は、ステップS214(図3参照)における方法と同じである。
具体的には、攻撃検知部115は、現在の状態と同じ状態に対応する通信情報を検知ルール135から取得する。
ステップS232で取得される通信情報を検知ルール135の通信情報と呼ぶ。
ステップS233における新たな通信データ133は、攻撃検知処理(S230)の開始後の時刻を含んだ通信データ133である。
新たな通信データ133が有る場合、処理はステップS234に進む。
新たな通信データ133が無い場合、攻撃検知処理(S230)は終了する。その後、攻撃検知処理(S230)は新たに実行される。
ステップS234で取得される通信情報を新たな通信データ133の通信情報と呼ぶ。
新たな通信データ133の通信情報が検知ルール135の通信情報と一致する場合、攻撃検知処理(S230)は終了する。その後、攻撃検知処理(S230)は新たに実行される。
新たな通信データ133の通信情報が検知ルール135の通信情報と一致しない場合、処理はステップS236に進む。
具体的には、警告部116は、表示部124を介して、警告用のメッセージをディスプレイに表示する。つまり、警告部116は、警告用のメッセージを表示部124に入力する。そして、表示部124は、警告用のメッセージをディスプレイに表示する。但し、警告部116は、警告用の音声をスピーカから出力させる、または、警告用のランプを点灯させる等の方法によって、警告を出力してもよい。
状態の通知を受けなくてもサイバー攻撃を検知することができる。
そのため、監視制御装置100をシステムに導入すれば、機能追加および改修を行わなくても、サイバー攻撃を検知することができる。
そのため、人間、人間の操作または通信経過時間といった運用面の情報に基づく状態ではなく、制御の実態に合った細かな状態によって、高精度な検知が可能である。
つまり、オペレータによる複雑な設定を必要とせずに、攻撃を検知することができる。
そのため、監視制御装置100は、高性能な計算リソースと膨大な検知ルールとを必要としない。
これにより、通信データ133を用いた攻撃だけでなく、制御値または計測値の異常を状態モデル134に基づいて検知することも可能である。
そのため、攻撃者に乗っ取られたコンピュータから、通信シーケンスに従った通信を伴う攻撃が行われた場合でも、その攻撃を検知することができる。
そのため、実施の形態1は状態通知パケットを改ざんするような攻撃の対策となる。
監視制御装置100以外の装置が攻撃検知装置として機能してもよい。
具体的には、モデル生成部112は、複数の計測値に基づいて状態モデル134を生成する。この場合、モデル生成部112は、複数の計測値をグループ分けしてグループ毎に状態を定義する。
具体的には、モデル生成部112は、複数の制御値に基づいて状態モデル134を生成する。この場合、モデル生成部112は、複数の制御値をグループ分けしてグループ毎に状態を定義する。
例えば、モデル生成部112は、複数の計測値または複数の制御値を時間帯毎にグループ分けする。
具体的には、ルール生成部113は、複数の計測値が得られた時間帯に監視対象202によって通信された複数の通信データ133に基づいて検知ルール135を生成する。この場合、ルール生成部113は、複数の通信データ133の各通信データ133が得られたときの計測値に基づいて状態モデル134から状態を取得する。さらに、ルール生成部113は、各通信データ133から通信情報を取得する。そして、ルール生成部113は、取得した状態と取得した通信情報とを互いに対応付けて検知ルール135に登録する。
具体的には、ルール生成部113は、複数の制御値が得られた時間帯に監視対象202によって通信された複数の通信データ133に基づいて検知ルール135を生成する。この場合、ルール生成部113は、複数の通信データ133の各通信データ133が得られたときの制御値に基づいて状態モデル134から状態を取得する。さらに、ルール生成部113は、各通信データ133から通信情報を取得する。そして、ルール生成部113は、取得した状態と取得した通信情報とを互いに対応付けて検知ルール135に登録する。
実施の形態1における方法とは異なる方法で検知ルール135を生成する形態について、主に実施の形態1と異なる点を図17から図20に基づいて説明する。
監視制御システム200の構成は、実施の形態1における構成と同じである(図1および図2参照)。
監視制御装置100の構成は、実施の形態1における構成と同じである(図3参照)。
監視制御方法は、実施の形態1における方法と同じである(図5および図6参照)。
ステップS300において、モデル生成部112は、実施の形態1における方法と同じ方法で状態モデル134を生成する。
また、ルール生成部113は、実施の形態1における方法とは異なる方法で検知ルール135を生成する。
ルール生成部113は、各通信データ133から取得した通信情報と同じ通信情報が通信情報リスト136に有るか判定する。通信情報リスト136については後述する。
各通信データ133から取得した通信情報と同じ通信情報が通信情報リスト136に有る場合に、ルール生成部113は、取得した状態と取得した通信情報とを互いに対応付けて検知ルール135に登録する。
ステップS301において、オペレータは、通信情報リスト136を生成し、生成した通信情報リスト136を監視制御装置100に入力する。
受付部123は通信情報リスト136を受け付け、データ管理部111は通信情報リスト136を記憶部121に記憶する。
通信情報リスト136は、正当な通信データ133の通信情報のリストである。つまり、通信情報リスト136は、正当な通信情報のリストである。
通信情報リスト136は、検知ルール135(図12参照)から状態の欄を削除して得られるデータに相当する。
ステップS311は、実施の形態1におけるステップS211と同じである(図8参照)。
ステップS312は、実施の形態1におけるステップS212と同じである(図8参照)。
ステップS313は、実施の形態1におけるステップS313と同じである(図8参照)。
ステップS314は、実施の形態1におけるステップS214と同じである(図8参照)。
ステップS315は、実施の形態1におけるステップS215と同じである(図8参照)。
新たな通信データ133が有る場合、処理はステップS320に進む。
新たな通信データ133が無い場合、処理はステップS316に進む。
ステップS320の手順について後述する。
ステップS316は、実施の形態1におけるステップS218と同じである(図8参照)。
ステップS321において、ルール生成部113は、新たな通信データ133から通信情報を取得する。
具体的には、通信データ133は、通信情報が設定されたヘッダを有する。そして、ルール生成部113は、通信データ133のヘッダから通信情報を取得する。
ステップS321で取得される通信情報を新たな通信データ133の通信情報と呼ぶ。
新たな通信データ133の通信情報と同じ通信情報が通信情報リスト136に有る場合、処理はステップS323に進む。
新たな通信データ133の通信情報と同じ通信情報が通信情報リスト136に無い場合、処理はステップS324に進む。
ステップS324は、実施の形態1におけるステップS236と同じである(図16参照)。
監視制御装置100は、正当な通信情報に基づいて、状態に応じた検知ルールを自動で生成する。これにより、高精度な検知が実現される。
さらに、監視制御装置100は、検知ルールの生成時にも攻撃を検知できる。
図21に基づいて、監視制御装置100のハードウェア構成を説明する。
監視制御装置100は処理回路109を備える。
処理回路109は、データ管理部111とモデル生成部112とルール生成部113と統合部114と攻撃検知部115と警告部116と記憶部121とを実現するハードウェアである。
処理回路109は、専用のハードウェアであってもよいし、メモリ102に格納されるプログラムを実行するプロセッサ101であってもよい。
ASICはApplication Specific Integrated Circuitの略称であり、FPGAはField Programmable Gate Arrayの略称である。
監視制御装置100は、処理回路109を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路109の役割を分担する。
Claims (10)
- 監視対象を計測して得られた複数の計測値に基づいて、前記監視対象の状態別の計測値を示す状態モデルを生成するモデル生成部と、
前記複数の計測値が得られた時間帯に前記監視対象によって通信された複数の通信データに基づいて、前記監視対象の状態別の通信情報を示す検知ルールを生成するルール生成部と、
前記状態モデルと前記検知ルールとを用いて、新たな通信データが攻撃データであるか判定する攻撃検知部と
を備える攻撃検知装置。 - 前記モデル生成部は、前記複数の計測値をグループ分けしてグループ毎に状態を定義することによって前記状態モデルを生成する
請求項1に記載の攻撃検知装置。 - 前記モデル生成部は、前記複数の計測値と前記監視対象に対する複数の制御値とに基づいて、前記状態モデルを生成する
前記ルール生成部は、前記複数の制御値と前記複数の計測値とが得られた時間帯に前記監視対象によって通信された複数の通信データに基づいて、前記検知ルールを生成する
請求項1に記載の攻撃検知装置。 - 前記モデル生成部は、前記複数の制御値と前記複数の計測値とから得られる複数の値ペアをグループ分けしてグループ毎に状態を定義することによって前記状態モデルを生成する
請求項3に記載の攻撃検知装置。 - 前記ルール生成部は、前記複数の通信データの各通信データが得られたときの計測値に基づいて前記状態モデルから状態を取得し、各通信データから通信情報を取得し、取得した状態と取得した通信情報とを互いに対応付けて前記検知ルールに登録する
請求項1から請求項4のいずれか1項に記載の攻撃検知装置。 - 前記ルール生成部は、取得した通信情報と同じ通信情報が通信情報リストに有る場合に、取得した状態と取得した通信情報とを互いに対応付けて前記検知ルールに登録する
請求項5に記載の攻撃検知装置。 - 前記攻撃検知部は、前記新たな通信データが通信された時間帯に計測された計測値に対応する状態を前記状態モデルから選択し、選択した状態に対応する通信情報を前記検知ルールから選択し、選択した通信情報と前記新たな通信データの通信情報を比較し、前記新たな通信データの通信情報が前記選択した通信情報と一致しない場合に前記新たな通信データが前記攻撃データであると判定する
請求項1から請求項6のいずれか1項に記載の攻撃検知装置。 - 前記攻撃検知装置は、通信情報が互いに一致する複数の状態が前記検知ルールに存在する場合に前記状態モデルと前記検知ルールとのそれぞれにおいて前記複数の状態を1つの状態に統合する統合部を備え、
前記攻撃検知部は、前記複数の状態が前記1つの状態に統合された場合に、統合後の状態モデルと統合後の検知ルールとを用いて、前記攻撃の通信データを検知する
請求項1から請求項7のいずれか1項に記載の攻撃検知装置。 - モデル生成部が、監視対象を計測して得られた複数の計測値に基づいて、前記監視対象の状態別の計測値を示す状態モデルを生成し、
ルール生成部が、前記複数の計測値が得られた時間帯に前記監視対象によって通信された複数の通信データに基づいて、前記監視対象の状態別の通信情報を示す検知ルールを生成し、
攻撃検知部が、前記状態モデルと前記検知ルールとを用いて、新たな通信データが攻撃データであるか判定する
攻撃検知方法。 - 監視対象を計測して得られた複数の計測値に基づいて、前記監視対象の状態別の計測値を示す状態モデルを生成するモデル生成処理と、
前記複数の計測値が得られた時間帯に前記監視対象によって通信された複数の通信データに基づいて、前記監視対象の状態別の通信情報を示す検知ルールを生成するルール生成処理と、
前記状態モデルと前記検知ルールとを用いて、新たな通信データが攻撃データであるか判定する攻撃検知処理と
をコンピュータに実行させるための攻撃検知プログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2018/001223 WO2019142264A1 (ja) | 2018-01-17 | 2018-01-17 | 攻撃検知装置、攻撃検知方法および攻撃検知プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2019142264A1 true JPWO2019142264A1 (ja) | 2020-05-28 |
JP6749508B2 JP6749508B2 (ja) | 2020-09-02 |
Family
ID=67301068
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019566030A Active JP6749508B2 (ja) | 2018-01-17 | 2018-01-17 | 攻撃検知装置 |
Country Status (6)
Country | Link |
---|---|
US (1) | US20200279174A1 (ja) |
EP (1) | EP3731122B1 (ja) |
JP (1) | JP6749508B2 (ja) |
KR (1) | KR102253213B1 (ja) |
CN (1) | CN111566643B (ja) |
WO (1) | WO2019142264A1 (ja) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010191556A (ja) * | 2009-02-17 | 2010-09-02 | Hitachi Ltd | 異常検知方法及び異常検知システム |
WO2014155650A1 (ja) * | 2013-03-29 | 2014-10-02 | 株式会社日立製作所 | 情報制御装置、情報制御システム、及び情報制御方法 |
JP2015103218A (ja) * | 2013-11-28 | 2015-06-04 | 株式会社日立製作所 | プラントの診断装置及び診断方法 |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4826831B2 (ja) * | 2008-03-06 | 2011-11-30 | 日本電気株式会社 | 障害検知装置、障害検知方法及びそのプログラム |
US9258217B2 (en) * | 2008-12-16 | 2016-02-09 | At&T Intellectual Property I, L.P. | Systems and methods for rule-based anomaly detection on IP network flow |
JP5331774B2 (ja) * | 2010-10-22 | 2013-10-30 | 株式会社日立パワーソリューションズ | 設備状態監視方法およびその装置並びに設備状態監視用プログラム |
FR2967273B1 (fr) * | 2010-11-10 | 2013-06-28 | Commissariat Energie Atomique | Dispositif de detection a capteur, procede de detection et programme d'ordinateur correspondants |
WO2013123385A1 (en) * | 2012-02-15 | 2013-08-22 | Rolls-Royce Corporation | Gas turbine engine performance seeking control |
JP6026313B2 (ja) | 2013-02-18 | 2016-11-16 | 京楽産業.株式会社 | 遊技機 |
JP5715288B1 (ja) * | 2014-08-26 | 2015-05-07 | 株式会社日立パワーソリューションズ | 動態監視装置及び動態監視方法 |
US9660994B2 (en) * | 2014-09-30 | 2017-05-23 | Schneider Electric USA, Inc. | SCADA intrusion detection systems |
US20170167287A1 (en) * | 2015-12-09 | 2017-06-15 | General Electric Company | Calibrated Turbine Engine Shaft Torque Sensing |
US10027699B2 (en) * | 2016-03-10 | 2018-07-17 | Siemens Aktiengesellschaft | Production process knowledge-based intrusion detection for industrial control systems |
CN106405492A (zh) * | 2016-08-31 | 2017-02-15 | 广西科技大学 | 基于声波和无线定位的移动目标检测方法 |
CN106358286A (zh) * | 2016-08-31 | 2017-01-25 | 广西科技大学 | 基于声波和无线定位的移动目标检测方法 |
WO2018193571A1 (ja) * | 2017-04-20 | 2018-10-25 | 日本電気株式会社 | 機器管理システム、モデル学習方法およびモデル学習プログラム |
US10805317B2 (en) * | 2017-06-15 | 2020-10-13 | Microsoft Technology Licensing, Llc | Implementing network security measures in response to a detected cyber attack |
-
2018
- 2018-01-17 EP EP18901608.2A patent/EP3731122B1/en active Active
- 2018-01-17 CN CN201880084979.1A patent/CN111566643B/zh active Active
- 2018-01-17 WO PCT/JP2018/001223 patent/WO2019142264A1/ja unknown
- 2018-01-17 JP JP2019566030A patent/JP6749508B2/ja active Active
- 2018-01-17 US US16/764,554 patent/US20200279174A1/en not_active Abandoned
- 2018-01-17 KR KR1020207019552A patent/KR102253213B1/ko active IP Right Grant
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010191556A (ja) * | 2009-02-17 | 2010-09-02 | Hitachi Ltd | 異常検知方法及び異常検知システム |
WO2014155650A1 (ja) * | 2013-03-29 | 2014-10-02 | 株式会社日立製作所 | 情報制御装置、情報制御システム、及び情報制御方法 |
JP2015103218A (ja) * | 2013-11-28 | 2015-06-04 | 株式会社日立製作所 | プラントの診断装置及び診断方法 |
Also Published As
Publication number | Publication date |
---|---|
CN111566643A (zh) | 2020-08-21 |
CN111566643B (zh) | 2023-08-08 |
KR20200088492A (ko) | 2020-07-22 |
WO2019142264A1 (ja) | 2019-07-25 |
EP3731122B1 (en) | 2021-09-01 |
JP6749508B2 (ja) | 2020-09-02 |
EP3731122A1 (en) | 2020-10-28 |
EP3731122A4 (en) | 2020-12-09 |
US20200279174A1 (en) | 2020-09-03 |
KR102253213B1 (ko) | 2021-05-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6968145B2 (ja) | システム呼び出しのシーケンスを用いた異常検出 | |
JP2018005818A (ja) | 異常検知システム及び異常検知方法 | |
TWI636374B (zh) | Intrusion detection device and intrusion detection program product | |
CN107864675B (zh) | 使用iot传感器融合的关键工业解决方案的认知保护 | |
US20170331787A1 (en) | Unauthorized communication detection system and unauthorized communication detection method | |
WO2020135755A1 (zh) | 车辆攻击检测方法及装置 | |
EP3206367A1 (en) | Techniques for detecting attacks in a publish-subscribe network | |
JPWO2020137847A1 (ja) | アタックツリー生成装置、アタックツリー生成方法およびアタックツリー生成プログラム | |
JP6749508B2 (ja) | 攻撃検知装置 | |
US20220182260A1 (en) | Detecting anomalies on a controller area network bus | |
JP2019022099A (ja) | セキュリティポリシー情報管理システム、セキュリティポリシー情報管理方法、及びプログラム | |
WO2017099062A1 (ja) | 診断装置、診断方法、及び、診断プログラムが記録された記録媒体 | |
JP6863290B2 (ja) | 診断装置、診断方法、及び、診断プログラム | |
JP7176630B2 (ja) | 検知装置、検知方法および検知プログラム | |
JP2018156561A (ja) | ソフトウェア評価プログラム、ソフトウェア評価方法、及び情報処理装置 | |
US11592811B2 (en) | Methods and apparatuses for defining authorization rules for peripheral devices based on peripheral device categorization | |
WO2022153410A1 (ja) | 改竄検知装置、改竄検知方法および改竄検知プログラム | |
US20230208866A1 (en) | Attack detection apparatus and method based on measurement of networking behavior abnormalities in symbolic spaces | |
JP7343440B2 (ja) | 性能プロファイリング | |
US11822651B2 (en) | Adversarial resilient malware detector randomization method and devices | |
JP6646494B2 (ja) | 監視装置、監視方法、及びプログラム | |
CN114564701A (zh) | 一种基于系统白名单的病毒防护系统 | |
JPWO2019058489A1 (ja) | アラート頻度制御装置およびアラート頻度制御プログラム | |
JP2019530066A (ja) | コンピュータシステムのためのプログラマブルセキュリティユニットを実装するための方法、装置およびプログラム | |
TW201207659A (en) | Systems and methods for detecting network worms in an environment of an industry control system, and computer program products thereof |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200212 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200212 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20200212 |
|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20200311 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200317 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200410 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200714 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200811 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6749508 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |