JPWO2020100307A1 - 攻撃検知装置、攻撃検知方法、および攻撃検知プログラム - Google Patents

攻撃検知装置、攻撃検知方法、および攻撃検知プログラム Download PDF

Info

Publication number
JPWO2020100307A1
JPWO2020100307A1 JP2020556576A JP2020556576A JPWO2020100307A1 JP WO2020100307 A1 JPWO2020100307 A1 JP WO2020100307A1 JP 2020556576 A JP2020556576 A JP 2020556576A JP 2020556576 A JP2020556576 A JP 2020556576A JP WO2020100307 A1 JPWO2020100307 A1 JP WO2020100307A1
Authority
JP
Japan
Prior art keywords
equipment
adjustment
attack
abnormality
abnormality detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2020556576A
Other languages
English (en)
Other versions
JP6862615B2 (ja
Inventor
雅司 立床
雅司 立床
樋口 毅
毅 樋口
河内 清人
清人 河内
米田 健
健 米田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of JPWO2020100307A1 publication Critical patent/JPWO2020100307A1/ja
Application granted granted Critical
Publication of JP6862615B2 publication Critical patent/JP6862615B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • G05B19/41815Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the cooperation between machine tools, manipulators and conveyor or other workpiece supply system, workcell
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q9/00Arrangements in telecontrol or telemetry systems for selectively calling a substation from a main station, in which substation desired apparatus is selected for applying a control signal thereto or for obtaining measured values therefrom
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Quality & Reliability (AREA)
  • Signal Processing (AREA)
  • Manufacturing & Machinery (AREA)
  • Automation & Control Theory (AREA)
  • Artificial Intelligence (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Mathematical Physics (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Selective Calling Equipment (AREA)

Abstract

攻撃検知装置は、設備IDを含む異常検知結果を取得することで、設備IDに対応する設備に異常が発生したことを検知する異常検知部と、設備IDと調整時刻とを関連付けたデータを調整履歴データとして記憶する記憶部と、異常検知部による検知結果に基づいて、記憶部に記憶された調整履歴データから設備IDに対応する設備の調整頻度を求め、調整頻度が当該設備に対して設定された許容回数を超過している場合に、当該設備が攻撃を受けたと判定する攻撃判定部とを備える。

Description

本発明は、例えば、工場、プラント等の設備がサイバー攻撃を受けたことを検知する攻撃検知装置、攻撃検知方法、および攻撃検知プログラムに関する。
工場、プラント等の設備の正常状態または故障状態が既知の場合に、過去のログと現在の挙動とを比較して、比較結果に基づく外れ度合いを用いて、設備の異常を検知する方法がある(例えば、特許文献1、2参照)。
さらに、事前に設備の正常状態が定義できない場合に、過去のログから適応的に設備の正常状態を推定する方法がある(例えば、特許文献3参照)。
これらの従来の方法は、工場、プラント等の設備の異常を検知する場合には有効である。
特許第6148316号公報 特開2018−073258号公報 特開平08−014955号公報
しかしながら、上記の従来の方法のいずれにおいても、検知した異常が、設備自身の故障あるいは劣化に起因しているか、または外部からのサイバー攻撃に起因しているかを判定することは困難であった。
本発明は、かかる課題を解決するためになされたものであり、検知した設備異常がサイバー攻撃に起因しているか否かを判定することが可能な攻撃検知装置、攻撃検知方法、および攻撃検知プログラムを得ることを目的とする。
本発明に係る攻撃検知装置は、設備を識別するための設備IDを含む異常検知結果を取得することで、前記設備IDに対応する設備に異常が発生したことを検知する異常検知部と、前記異常検知部から送信された前記異常検知結果に含まれる前記設備IDに基づいて、前記設備IDと前記設備に発生した異常に対して調整を行った時刻を示す調整時刻とを関連付けた調整履歴データから、前記設備IDに対応する前記設備の調整頻度を求め、前記調整頻度が前記設備に対してあらかじめ設定された許容回数を超過している場合に、前記設備が攻撃を受けたと判定する攻撃判定部とを備えたものである。
また、本発明に係る攻撃検知方法は、設備を識別するための設備IDを含む異常検知結果を取得することで、前記設備IDに対応する設備に異常が発生したことを検知し、前記異常検知結果を送信する異常検知ステップと、前記異常検知ステップにおいて送信された前記異常検知結果に含まれる前記設備IDに基づいて、前記設備IDと前記設備に発生した異常に対して調整を行った時刻を示す調整時刻とを関連付けた調整履歴データから、前記設備IDに対応する前記設備の調整頻度を求め、前記調整頻度が前記設備に対してあらかじめ設定された許容回数を超過している場合に、前記設備が攻撃を受けたと判定する攻撃判定ステップとを備えたものである。
また、本発明に係る攻撃検知プログラムは、コンピュータに、設備を識別するための設備IDを含む異常検知結果を取得することで、前記設備IDに対応する設備に異常が発生したことを検知し、前記異常検知結果を送信する異常検知ステップと、前記異常検知ステップにおいて送信された前記異常検知結果に含まれる前記設備IDに基づいて、前記設備IDと前記設備に発生した異常に対して調整を行った時刻を示す調整時刻とを関連付けた調整履歴データから、前記設備IDに対応する前記設備の調整頻度を求め、前記調整頻度が前記設備に対してあらかじめ設定された許容回数を超過している場合に、前記設備が攻撃を受けたと判定する攻撃判定ステップとを実行させるためのものである。
本発明に係る攻撃検知装置、攻撃検知方法、および攻撃検知プログラムによれば、検知した設備異常がサイバー攻撃に起因しているか否かを判定することができる。
本発明の実施の形態1に係る検知サーバの構成図である。 本発明の実施の形態1における記憶部に格納される調整履歴データのデータ構成を示した図である。 本発明の実施の形態1に係る検知サーバと異常検知装置との接続構成を示した図である。 本発明の実施の形態1に係る検知サーバおよび異常検知装置のそれぞれに対応するハードウェア構成例を示した図である。 本発明の実施の形態1に係る攻撃検知装置において実行される一連の攻撃検知処理を示すフローチャートである。 本発明の実施の形態1における記憶部に記憶される情報の一例を示した図である。 本発明の実施の形態1において、調整履歴データをグラフとして示した図である。 本発明の実施の形態2に係る検知サーバの構成図である。 本発明の実施の形態2における記憶部に格納される調整履歴データおよび許容範囲データのそれぞれのデータ構成を示した図である。 本発明の実施の形態2に係る攻撃検知装置において実行される一連の攻撃検知処理を示すフローチャートである。 本発明の実施の形態2に係る攻撃検知装置において実行される、ウィンドウ幅および許容回数に関する一連の学習処理を示すフローチャートである。
以下、本発明の攻撃検知装置、攻撃検知方法、および攻撃検知プログラムの好適な実施の形態につき、図面を用いて説明する。なお、以降の実施の形態では、ある一定期間内に検知された設備ごとの異常履歴から設備ごとの調整頻度を求め、調整頻度が許容回数を超過するか否かを判別することで、サイバー攻撃を検知可能とする技術について、詳細に説明する。なお、以下の説明では、サイバー攻撃のことを単に「攻撃」と称す。
実施の形態1.
図1は、本発明の実施の形態1に係る検知サーバ101の構成図である。検知サーバ101は、攻撃検知装置の例に相当する。図1に示す検知サーバ101は、異常検知部111、攻撃判定部112、および記憶部120を備えて構成されている。また、記憶部120には、調整履歴データ121が格納されている。
図2に、本発明の実施の形態1における記憶部120に格納される調整履歴データ121のデータ構成の一例を示す。図2に示すように、調整履歴データ121は、調整時刻211、設備ID212、および調整内容213の各項目が互いに関連付けられて構成されている。なお、調整履歴データ121は、図2の構成には限定されず、調整時刻211と設備ID212との2項目のみを関連付ける構成としてもよい。
図3は、本発明の実施の形態1における検知サーバ101と異常検知装置301との接続構成を示した図である。図3に示すように、検知サーバ101と異常検知装置301とは、有線接続または無線接続され、通信を行う。異常検知装置301は、例えば、工場に設置されており、工場内の設備で発生した異常を検知する機能を備えている。異常検知装置301は、設備の異常を検知する異常検知部302を備えている。
検知サーバ101に対して、複数の異常検知装置301が接続される構成であってもかまわない。また、複数階層からなるネットワークとして構成された複数の異常検知装置301と検知サーバ101とが接続されていてもよい。また、異常検知装置301は、検知サーバ101に内包されていてもよい。
検知サーバ101および異常検知装置301は、CPU(Central Processing Unit)を備えたコンピュータから構成されている。検知サーバ101内の構成要素である異常検知部111および攻撃判定部112の各部の機能は、CPUがプログラムを実行することにより実現される。同様に、異常検知装置301内の構成要素である異常検知部302の機能も、CPUがプログラムを実行することにより実現される。
また、構成要素の処理を実行するためのプログラムは、記憶媒体に記憶させ、記憶媒体からCPUに読み取られるように構成することができる。
図4は、本発明の実施の形態1に係る検知サーバ101および異常検知装置301のそれぞれに対応するハードウェア構成例を示した図である。演算装置401、外部記憶装置402、主記憶装置403、および通信装置404が、バス405を介して相互接続されている。
演算装置401は、プログラムを実行するCPUである。外部記憶装置402は、例えば、ROM(Read Only Memory)、ハードディスク等である。主記憶装置403は、通常、RAM(Random Access Memory)である。通信装置404は、通常、イーサネット(登録商標)に対応した通信カードである。
プログラムは、通常は、外部記憶装置402に記憶されており、主記憶装置403にロードされた状態で、順次、演算装置401に読み込まれ、処理を実行する。プログラムは、図1に示す「異常検知部111」および「攻撃判定部112」としての機能を実現する。
また、図1に示す記憶部120は、例えば、外部記憶装置402により実現される。さらに、外部記憶装置402には、オペレーティングシステム(以下、OSと称す)も記憶されており、OSの少なくとも一部が、主記憶装置403にロードされる。演算装置401は、OSを実行しながら、図1に示す「異常検知部111」および「攻撃判定部112」の機能を実現するプログラムを実行する。
また、実施の形態1の説明において、処理結果を示す、情報、データ、信号値、および変数値は、主記憶装置403にファイルとして記憶されている。
なお、図4の構成は、あくまでも検知サーバ101および異常検知装置301のハードウェア構成の一例を示すものである。従って、検知サーバ101および異常検知装置301のハードウェア構成は、図4の記載に限らず、他の構成であってもよい。例えば、表示ディスプレイ等の出力装置、あるいはマウス・キーボード等の入力装置が、バス405に接続されている構成であってもよい。
また、検知サーバ101は、各実施の形態の中のフローチャートに示す手順により、本発明の各実施の形態に係る情報処理方法を実現可能である。
次に、図1〜図3に基づいて、検知サーバ101の動作を説明する。なお、各動作の詳細については、フローチャートを用いて後述する。
異常検知部111は、異常検知装置301から送信された異常検知結果を取得する。異常検知結果の取得方法は、異常検知時刻、および設備IDが含まれる内容を取得できれば、どのような方法でもかまわない。
攻撃判定部112は、記憶部120に記憶されている調整履歴データ121を用いて、設備ごとに設定された時間幅での調整頻度を求める。さらに、攻撃判定部112は、調整頻度が、設備ごとに設定された許容回数を超過しているか否かを判別することで、攻撃を受けたことを検知する。ここで、許容回数に関しては、事前にしきい値を設定しておいてもよいし、過去の調整履歴から適応的に設定してもよい。許容回数の決定方法については、限定されるものではない。
次に、本実施の形態1で用いる調整履歴データ121のデータ構造について、図2を用いて説明する。図2の調整履歴データ121は、調整履歴を格納する形式の一例を示している。
図2において、調整時刻211は、設備IDに対応する設備に関して、当該設備に発生した異常に対する調整が行われた時刻を識別するための情報である。調整時刻211は、日付および時刻として認識できれば、どのような形式のデータでもかまわない。
設備ID212は、異常が発生して調整が行われた設備を識別するための一意な識別子である。
調整内容213は、具体的に実施された調整の概要を示すデータである。
図5は、本発明の実施の形態1に係る攻撃検知装置において実行される一連の攻撃検知処理を示すフローチャートである。以下、図5に示すフローチャートに基づいて、検知サーバ101における異常検知部111および攻撃判定部112による攻撃検知処理について説明する。ここで、設備の異常に関しては、事前に異常検知装置301によって検知されているものとする。
ステップS501において、異常検知部111は、異常検知装置301によって検知された異常検知結果を取得する。
ステップS502において、攻撃判定部112は、ステップS501において異常が検知された設備の設備IDに基づいて、調整履歴データ121を参照し、設定された時間幅での直近の調整頻度を取得する。
ステップS503において、攻撃判定部112は、ステップS502で取得した直近の調整頻度と、調整頻度の許容回数とを比較する。そして、攻撃判定部112は、ステップS502で取得した直近の調整頻度が許容回数を超えている場合にはステップS504に進み、超えていない場合にはステップS505に進む。
ステップS504に進んだ場合には、攻撃判定部112は、異常が検出された設備が攻撃を受けた可能性があると判定し、設備の詳細な調査を依頼するための報知を行う。詳細な調査の依頼方法としては、画面表示することによる人への通知、自動的なメッセージ送信等、設備の詳細な調査を開始させることを報知可能な方法であれば、どのような方法でもかまわない。
一方、ステップS505に進んだ場合には、攻撃判定部112は、ステップS501で検知された設備の異常に対処する調整が必要であることを依頼するための報知を行い、調整時刻を含む調整結果を調整履歴データ121として記録する。調整の依頼方法としては、調整を依頼するメッセージを画面表示することによる人への通知、調整を依頼するメッセージの自動的な送信等、設備の調整を開始させることを報知可能な方法であれば、どのような方法でもかまわない。
なお、ステップS504およびステップS505のいずれの場合においても、攻撃判定部112は、自身が行った上記報知に応じて、異常が発生した設備に対する調整が行われた場合に、当該調整が行われた時刻を調整時刻として取得する。また、攻撃判定部112は、取得した調整時刻と設備IDとを関連付けた新たなデータを、記憶部120に記憶させることで、調整履歴データ121を更新する。
図6は、本発明の実施の形態1における記憶部120に記憶される調整履歴データ121の一例を、調整履歴データ610として示した図である。以下、図6を用いて、攻撃検知の具体例について説明する。
まず、図6に示す調整履歴データ610の例について説明する。図6では、調整履歴データ610として、すでに10個の調整履歴が格納されている。調整履歴データ610の各行の内容は、時刻611、設備ID612、および調整内容613で構成されている。
図7は、本発明の実施の形態1において、調整履歴データ610をグラフ710として示した図である。グラフ710を用いて、調整頻度について説明する。グラフ710の縦軸711は、製造設備の種別を示しており、設備ID612と対応する。グラフ710の横軸712は、時間経過を示しており、時刻611と対応する。調整履歴データ610の各行に含まれる時刻611および設備ID612は、グラフ710に示す点721と対応する。
攻撃判定部112は、図6に示す調整履歴データ610に基づいて、図7に示すグラフ710において調整頻度が頻出している箇所722を特定する。調整頻度が頻出している箇所722における調整頻度が許容回数を超えている場合、攻撃判定部112は、攻撃を受けた可能性があると判定する。ここで、許容回数は、設備ID612によらず共通の値でもよいし、設備ID612ごとに異なる値でもかまわない。
このように、本実施の形態1に係る攻撃検知装置の攻撃判定部112は、異常検知部111が取得した異常検知結果を起点として、攻撃検知処理を開始する。そして、攻撃判定部112は、記憶部120内に格納された調整履歴データ121を用いて、調整頻度が頻出している箇所において、設定された時間幅での調整頻度を求める。さらに、攻撃判定部112は、求めた調整頻度と、許容回数とを比較することにより、攻撃を受けた可能性があるか否かを検知する。すなわち、攻撃判定部112は、設備異常が検知された頻度に基づいて、サイバー攻撃の有無を判定することができる。
従来は、既知の正常状態と異なる異常の検知にとどまっていた。しかしながら、本実施の形態1に係る攻撃検知装置が実行する攻撃検知処理を用いることにより、異常検知の原因が攻撃であるか否かを検知できるという効果が得られる。
実施の形態2.
本実施の形態2では、攻撃検知装置が、ウィンドウ幅および許容回数を学習し、学習結果により更新されたウィンドウ幅および許容回数を用いることで、適応的に攻撃を検知することが可能な検知サーバを実現する場合について説明する。
図8は、本発明の実施の形態2に係る検知サーバ801の構成図である。検知サーバ801は、攻撃検知装置の例に相当する。図8に示す検知サーバ801は、異常検知部811、攻撃判定部812、学習部としての許容範囲学習部813、および記憶部820を備えて構成されている。図8の検知サーバ801は、先の実施の形態1における検知サーバ101に対して、許容範囲学習部813と、記憶部820内の許容範囲データ822とがさらに追加された構成となっている。そこで、新たに追加されたこれらの構成を中心に、以下に説明する。
図9は、本発明の実施の形態2に係る記憶部820に格納される調整履歴データ821および許容範囲データ822のそれぞれのデータ構成を示した図である。調整履歴データ821は、調整時刻921、設備ID912、および調整内容913を有しており、先の実施の形態1における調整履歴データ121と同一の構成であるため、説明を省略する。図9に示すように、許容範囲データ822は、設備ID921、ウィンドウ幅922、許容回数923、適用開始時刻924、および適用終了時刻925の各項目が互いに関連付けられて構成されている。
以下、図8に基づいて、検知サーバ801による学習機能の動作について説明する。なお、各動作の詳細については、フローチャートを用いて後述する。また、異常検知部811および攻撃判定部812の動作は、先の実施の形態1に示す異常検知部111および攻撃判定部112の動作と同様のため、説明を省略する。
許容範囲学習部813は、攻撃判定部812による攻撃判定結果に対して、人または機械で調査した結果に基づいて、許容範囲データ822へのフィードバックを行う。許容範囲データ822へのフィードバックのタイミングは、調査後に反映されるものでもよいし、定期的に反映されるものでもかまわない。
次に、本実施の形態2で用いるデータ構造について、図9を用いて説明する。図9の調整履歴データ821は、実施の形態1に示す調整履歴データ121と同様のため、説明を省略する。
図9の許容範囲データ822は、許容範囲を格納する形式の一例を示している。
設備ID921は、調整が行われた設備を識別するための一意な識別子である。
ウィンドウ幅922は、攻撃判定を行う際に調整履歴の頻度を数えるために用いられる時間幅に相当するウィンドウ幅である。
許容回数923は、ウィンドウ幅922における調整履歴の頻度の上限許容値に相当する。
適用開始時刻924は、設備ID921に対するウィンドウ幅922および許容回数923の適用を開始する時刻である。適用開始時刻924の格納形式は、日時および時刻として認識できる形式であれば、どのような形式のデータでもかまわない。
適用終了時刻925は、設備ID921に対するウィンドウ幅922および許容回数923の適用を終了する時刻である。適用終了時刻925は、期限が明確でない場合には、設定が省略されることで、適用開始時刻924以降のすべての時刻が学習を行うための対象となる。また、適用終了時刻925の格納形式は、日時および時刻として認識できる形式であり、かつ、期限が明確でない場合を判別可能な形式であれば、どのような形式のデータでもかまわない。
図10は、本発明の実施の形態2に係る攻撃検知装置において実行される一連の攻撃検知処理を示すフローチャートである。以下、図10に示すフローチャートに基づいて、検知サーバ801における異常検知部811および攻撃判定部812による攻撃検知処理について説明する。ここで、設備の異常に関しては、事前に異常検知装置301によって検知されているものとする。
図10に示すフローチャートは、先の実施の形態1における図5に示したフローチャートに対して、学習された許容回数を用いた判定処理を追加したものである。
ステップS1001において、異常検知部811は、異常検知装置301によって検知された異常検知結果を取得する。
ステップS1002において、攻撃判定部812は、ステップS1001において異常が検知された設備の設備IDに基づいて、許容範囲データ822を参照し、異常検知の時刻が適用開始時刻以降かつ適用終了時刻以内、または適用開始時刻以降かつ適用終了時刻なしに該当する行におけるウィンドウ幅および許容回数を取得する。
ステップS1003において、攻撃判定部812は、ステップS1001において異常が検知された設備の設備IDに基づいて、調整履歴データ821を参照し、直近の調整頻度を取得する。ここで、攻撃判定部812は、ステップS1002で取得したウィンドウ幅を用いて、当該ウィンドウ幅が示す時間幅に含まれる当該設備の直近の調整頻度を数える。具体的には、ウィンドウ幅が3時間の場合、攻撃判定部812は、直近の3時間以内に行われた調整の実施回数を、調整頻度としてカウントする。
ステップS1004において、攻撃判定部812は、ステップS1002で取得した許容回数と、ステップS1003で取得した直近の調整頻度とを比較する。そして、攻撃判定部812は、直近の調整頻度が許容回数を超えている場合には、ステップS1005に進み、超えていない場合はステップS1006に進む。
ステップS1005に進んだ場合には、攻撃判定部812は、異常が検知された設備が攻撃を受けた可能性があると判定し、設備の詳細な調査を依頼するための報知を行う。詳細な調査の依頼方法としては、画面表示することによる人への通知、自動的なメッセージ送信等、設備の詳細な調査を開始させることを報知可能な方法であれば、どのような方法でもかまわない。
一方、ステップS1006に進んだ場合には、攻撃判定部812は、ステップS1001で検知された設備の異常に対処する調整が必要であることを依頼するための報知を行い、調整結果を調整履歴データ821として記録する。調整の依頼方法としては、調整を依頼するメッセージを画面表示することによる人への通知、調整を依頼するメッセージの自動的な送信等、設備の調整を開始させることを報知可能な方法であれば、どのような方法でもかまわない。
図11は、本発明の実施の形態2における攻撃検知装置において実行される、ウィンドウ幅および許容回数に関する一連の学習処理を示すフローチャートである。
ステップS1101において、許容範囲学習部813は、学習対象とする製造設備の設備IDを取得する。許容範囲学習部813が設備IDを取得する方法は、人手で入力する場合でも、機械的な調査の結果を反映する場合でもよく、設備IDを認識可能な方法であれば、どのような方法でもかまわない。
ステップS1102において、許容範囲学習部813は、ステップS1101において取得した設備IDに基づいて、許容範囲データ822を参照し、最新の適用開始時刻に対応する行に設定されたウィンドウ幅および許容回数を取得する。
ステップS1103において、許容範囲学習部813は、攻撃判定部812による判定結果に基づいて、ステップS1102で取得したウィンドウ幅および許容回数を学習して、当該ウィンドウ幅および許容回数の見直しを行う。具体的な見直し方法について、例えば、新しい設備が導入された場合に当初はウィンドウ幅および許容数を小さくしておき、実際の調整頻度に応じてウィンドウ幅および許容数を変更する、製造する製品の種類が大きく変わった場合に実際の調整頻度に応じてウィンドウ幅および許容数を変更する、設備の劣化傾向に応じて許容数を増加させるといった見直し方法が考えられる。許容範囲学習部813による見直しの方法は、過去の履歴に基づく統計的な方法、機械学習による方法等、ウィンドウ幅および許容回数を定量化可能な方法であれば、どのような方法でもかまわない。
ステップS1104において、許容範囲学習部813は、ステップS1102において参照した行の適用終了時刻を、ステップS1103で見直したウィンドウ幅および許容回数の適用を開始する時刻に更新する。さらに、許容範囲学習部813は、その時刻を適用開始時刻とし、S1103で見直したウィンドウ幅および許容回数を用いて、許容範囲データ822に新たな行を追加する。
ここで、新たに追加する行における適用終了時刻は、「なし」とし、設備IDは、ステップS1101において取得した設備IDとする。このような一連処理を行うことで、学習対象の設備に関して、ウィンドウ幅および許容回数の見直しが実行された新たな行を追加することができる。
このように、本実施の形態2では、検知サーバ801が、記憶部120内の許容範囲データ822を、設備の実際の振る舞いに応じて、許容範囲学習部813に学習させることにより、それぞれの設備ごとに、適切なウィンドウ幅および許容回数に逐次更新することができる。この結果、攻撃判定の精度を、より高めることができる。
これにより、実施の形態1で得られる効果に加えて、製造する製品が大きく変化した場合、劣化により徐々に調整頻度が変化する場合などにおいても、高精度で攻撃検知できるという効果が得られる。
なお、上記の実施の形態1では、検知サーバ101が記憶部120を備えているとして説明した。しかしながら、それに限らず、記憶部120は、検知サーバ101の構成要素ではなく、外部装置の構成要素として、検知サーバ101の外部に設けられていてもよい。その場合の構成例としては、例えば、検知サーバ101の外部に設置されたサーバ等の外部装置に、記憶部120を設けておく。そして、検知サーバ101が、当該外部装置から、当該外部装置の記憶部120に蓄積された調整履歴データ121を取得して、設備の攻撃の有無を判定するようにしてもよい。また、実施の形態2の検知サーバ801の記憶部820についても同様である。すなわち、記憶部820は、検知サーバ801の構成要素ではなく、外部装置の構成要素として、検知サーバ801の外部に設けられていてもよい。その場合の検知サーバ801および記憶部820の構成例としては、検知サーバ101および記憶部120と同様にすればよいため、ここでは、その説明を省略する。
101 検知サーバ(攻撃検知装置)、111 異常検知部、112 攻撃判定部、120 記憶部、121 調整履歴データ、301 異常検知装置、302 異常検知部、401 演算装置、402 外部記憶装置、403 主記憶装置、404 通信装置、405 バス、801 検知サーバ(攻撃検知装置)、811 異常検知部、812 攻撃判定部、813 許容範囲学習部(学習部)、820 記憶部、821 調整履歴データ、822 許容範囲データ。

Claims (7)

  1. 設備を識別するための設備IDを含む異常検知結果を取得することで、前記設備IDに対応する設備に異常が発生したことを検知する異常検知部と、
    前記異常検知部から送信された前記異常検知結果に含まれる前記設備IDに基づいて、前記設備IDと前記設備に発生した異常に対して調整を行った時刻を示す調整時刻とを関連付けた調整履歴データから、前記設備IDに対応する前記設備の調整頻度を求め、前記調整頻度が前記設備に対してあらかじめ設定された許容回数を超過している場合に、前記設備が攻撃を受けたと判定する攻撃判定部と
    を備えた攻撃検知装置。
  2. 前記調整履歴データを記憶する記憶部
    をさらに備えた請求項1に記載の攻撃検知装置。
  3. 前記攻撃判定部は、
    前記異常検知部から前記異常検知結果を取得することで、前記異常検知結果に含まれている前記設備IDに対応する前記設備を特定し、特定した前記設備に関して調整が必要であることの報知を行い、
    前記報知に応じて前記異常が発生した前記設備に対する調整が行われた時刻を前記調整時刻として取得し、
    前記設備IDと前記調整時刻とを関連付けた新たなデータを前記記憶部に記憶させることで前記調整履歴データを更新する
    請求項1または2に記載の攻撃検知装置。
  4. 前記記憶部には、前記設備IDごとの前記調整頻度を求めるための時間幅と前記許容回数とを含む許容範囲データがさらに記憶されており、
    前記攻撃判定部は、前記時間幅に対する調整頻度を求め、前記調整頻度が前記許容回数を超過している場合に、前記設備が攻撃を受けたと判定する
    請求項1から3までのいずれか1項に記載の攻撃検知装置。
  5. 前記設備IDに関連付けて前記記憶部に記憶されている前記時間幅および前記許容回数を、前記攻撃判定部による判定結果の履歴に基づいて学習し、学習結果に基づいて前記許容範囲データを更新する学習部
    をさらに備えた請求項4に記載の攻撃検知装置。
  6. 設備を識別するための設備IDを含む異常検知結果を取得することで、前記設備IDに対応する設備に異常が発生したことを検知し、前記異常検知結果を送信する異常検知ステップと、
    前記異常検知ステップにおいて送信された前記異常検知結果に含まれる前記設備IDに基づいて、前記設備IDと前記設備に発生した異常に対して調整を行った時刻を示す調整時刻とを関連付けた調整履歴データから、前記設備IDに対応する前記設備の調整頻度を求め、前記調整頻度が前記設備に対してあらかじめ設定された許容回数を超過している場合に、前記設備が攻撃を受けたと判定する攻撃判定ステップと
    を備えた攻撃検知方法。
  7. コンピュータに、
    設備を識別するための設備IDを含む異常検知結果を取得することで、前記設備IDに対応する設備に異常が発生したことを検知し、前記異常検知結果を送信する異常検知ステップと、
    前記異常検知ステップにおいて送信された前記異常検知結果に含まれる前記設備IDに基づいて、前記設備IDと前記設備に発生した異常に対して調整を行った時刻を示す調整時刻とを関連付けた調整履歴データから、前記設備IDに対応する前記設備の調整頻度を求め、前記調整頻度が前記設備に対してあらかじめ設定された許容回数を超過している場合に、前記設備が攻撃を受けたと判定する攻撃判定ステップと
    を実行させるための攻撃検知プログラム。
JP2020556576A 2018-11-16 2018-11-16 攻撃検知装置、攻撃検知方法、および攻撃検知プログラム Active JP6862615B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2018/042550 WO2020100307A1 (ja) 2018-11-16 2018-11-16 攻撃検知装置、攻撃検知方法、および攻撃検知プログラム

Publications (2)

Publication Number Publication Date
JPWO2020100307A1 true JPWO2020100307A1 (ja) 2021-02-25
JP6862615B2 JP6862615B2 (ja) 2021-04-21

Family

ID=70731441

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020556576A Active JP6862615B2 (ja) 2018-11-16 2018-11-16 攻撃検知装置、攻撃検知方法、および攻撃検知プログラム

Country Status (7)

Country Link
US (1) US20210232686A1 (ja)
JP (1) JP6862615B2 (ja)
KR (1) KR102382134B1 (ja)
CN (1) CN112997177A (ja)
DE (1) DE112018008071B4 (ja)
TW (1) TWI712911B (ja)
WO (1) WO2020100307A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230290193A1 (en) 2022-03-08 2023-09-14 Denso Corporation Detecting tampering of an electronic device

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012168755A (ja) * 2011-02-15 2012-09-06 Internatl Business Mach Corp <Ibm> 異常検知システム、異常検知装置、異常検知方法、プログラムおよび記録媒体
US20130103972A1 (en) * 2011-10-24 2013-04-25 Emre Özer Data processing apparatus and method for analysing transient faults occurring within storage elements of the data processing apparatus
WO2015029150A1 (ja) * 2013-08-28 2015-03-05 株式会社 日立製作所 保守サービス方法および保守サービスシステム

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS54148428A (en) 1978-05-15 1979-11-20 Nec Corp Phase converter circuit
JPH0814955A (ja) 1994-07-01 1996-01-19 Nissan Motor Co Ltd 設備異常診断装置およびその方法
JP4940220B2 (ja) * 2008-10-15 2012-05-30 株式会社東芝 異常動作検出装置及びプログラム
KR20100078081A (ko) * 2008-12-30 2010-07-08 (주) 세인트 시큐리티 커널 기반 시스템 행위 분석을 통한 알려지지 않은 악성코드 탐지 시스템 및 방법
US8375450B1 (en) * 2009-10-05 2013-02-12 Trend Micro, Inc. Zero day malware scanner
MX2013011129A (es) * 2011-03-28 2013-10-30 Ibm Sistema de deteccion de anomalias, metodo de deteccion de anomalias y programa para los mismos.
CN102413127A (zh) * 2011-11-09 2012-04-11 中国电力科学研究院 一种数据库综合安全防护方法
US8904506B1 (en) 2011-11-23 2014-12-02 Amazon Technologies, Inc. Dynamic account throttling
US9699205B2 (en) * 2015-08-31 2017-07-04 Splunk Inc. Network security system
CN105303373B (zh) * 2015-09-22 2019-03-26 深圳市新国都支付技术有限公司 一种频率防探测电路和方法
JP6684690B2 (ja) * 2016-01-08 2020-04-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム
JP6606050B2 (ja) 2016-11-02 2019-11-13 日本電信電話株式会社 検知装置、検知方法および検知プログラム
US11405411B2 (en) * 2017-03-31 2022-08-02 Nec Corporation Extraction apparatus, extraction method, computer readable medium

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012168755A (ja) * 2011-02-15 2012-09-06 Internatl Business Mach Corp <Ibm> 異常検知システム、異常検知装置、異常検知方法、プログラムおよび記録媒体
US20130103972A1 (en) * 2011-10-24 2013-04-25 Emre Özer Data processing apparatus and method for analysing transient faults occurring within storage elements of the data processing apparatus
WO2015029150A1 (ja) * 2013-08-28 2015-03-05 株式会社 日立製作所 保守サービス方法および保守サービスシステム

Also Published As

Publication number Publication date
US20210232686A1 (en) 2021-07-29
CN112997177A (zh) 2021-06-18
JP6862615B2 (ja) 2021-04-21
WO2020100307A1 (ja) 2020-05-22
DE112018008071B4 (de) 2023-08-31
KR102382134B1 (ko) 2022-04-01
TW202020709A (zh) 2020-06-01
TWI712911B (zh) 2020-12-11
DE112018008071T5 (de) 2021-07-01
KR20210057194A (ko) 2021-05-20

Similar Documents

Publication Publication Date Title
US10410135B2 (en) Systems and/or methods for dynamic anomaly detection in machine sensor data
US9256221B2 (en) Information processing apparatus, processing system, processing method, and program
CN107315825B (zh) 一种索引更新系统、方法及装置
JP6749488B2 (ja) 異常重要度算出システム、異常重要度算出装置、及び異常重要度算出プログラム
CN105404581A (zh) 一种数据库的评测方法和装置
US9860109B2 (en) Automatic alert generation
JP6223380B2 (ja) 中継装置及びプログラム
JP6862615B2 (ja) 攻撃検知装置、攻撃検知方法、および攻撃検知プログラム
US20180165143A1 (en) Information processing system, information processing apparatus, and medium
EP2940540B1 (en) Power system monitoring and control system
CN111078480A (zh) 一种异常恢复方法和服务器
JP2012037991A (ja) 予測装置、予測システム及びプログラム
WO2020095993A1 (ja) 推論装置、情報処理装置、推論方法、プログラム及び記録媒体
CN117337413A (zh) 可编程逻辑控制器、终端装置、程序管理系统、程序管理方法及程序
JP5520864B2 (ja) 保守装置、保守方法及びプログラム
JP7167714B2 (ja) 異常判定装置、異常判定方法、及び異常判定プログラム
JP7414789B2 (ja) 故障時期予測装置、システム、方法、及びプログラム
JP2015230584A (ja) 警報対応支援装置および警報対応支援方法
US20240231346A1 (en) Pre-Trained Rule Engine and Method to Provide Assistance to Correct Abnormal Events in Equipment
CN111045723B (zh) 关联系统间的代码变更通知方法、装置
JP2024018784A (ja) 情報処理装置、情報処理システム、情報処理方法、及びプログラム
CN118312567A (en) Database data synchronization method, equipment, medium and product
US20190158602A1 (en) Data collecting system based on distributed architecture and operation method thereof
JP2006201890A (ja) プログラム異常対策装置
JP2022181573A (ja) 管理装置、管理方法および管理プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201021

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20201021

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20210119

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210126

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210215

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210303

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210331

R150 Certificate of patent or registration of utility model

Ref document number: 6862615

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250