KR20190002712A - 침입 검지 장치 및 기억 매체에 저장된 침입 검지 프로그램 - Google Patents

침입 검지 장치 및 기억 매체에 저장된 침입 검지 프로그램 Download PDF

Info

Publication number
KR20190002712A
KR20190002712A KR1020187036646A KR20187036646A KR20190002712A KR 20190002712 A KR20190002712 A KR 20190002712A KR 1020187036646 A KR1020187036646 A KR 1020187036646A KR 20187036646 A KR20187036646 A KR 20187036646A KR 20190002712 A KR20190002712 A KR 20190002712A
Authority
KR
South Korea
Prior art keywords
state
state transition
packet
operating system
transition
Prior art date
Application number
KR1020187036646A
Other languages
English (en)
Other versions
KR101972295B1 (ko
Inventor
고이치 시미즈
데루요시 야마구치
츠나토 나카이
노부히로 고바야시
Original Assignee
미쓰비시덴키 가부시키가이샤
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 미쓰비시덴키 가부시키가이샤 filed Critical 미쓰비시덴키 가부시키가이샤
Publication of KR20190002712A publication Critical patent/KR20190002712A/ko
Application granted granted Critical
Publication of KR101972295B1 publication Critical patent/KR101972295B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/067Generation of reports using time frame reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

상태 관리부(210)는, 운용 시스템의 상태를 특정하고, 특정된 상태에 근거하여 운용 시스템의 상태 천이의 유무를 판정한다. 운용 시스템의 상태 천이가 있었을 경우, 상태 관리부는, 상태 천이의 천이 패턴을 나타내는 상태 천이 시나리오를 이용하여, 운용 시스템의 상태 천이가 상태 천이 시나리오에 나타내어지는 천이 패턴에 합치하는지 판정한다. 운용 시스템의 상태 천이가 천이 패턴에 합치하지 않는 경우, 경보 출력부(293)는, 경보를 출력한다. 운용 시스템의 상태 천이가 천이 패턴에 합치하는 경우, 화이트리스트 관리부(220)는, 화이트리스트를 전환하고, 침입 검지부(230)는, 화이트리스트형 침입 검지를 행한다.

Description

침입 검지 장치 및 침입 검지 프로그램
본 발명은, 화이트리스트형 침입 검지에 관한 것이다.
최근, 산업 제어 시스템에 대한 사이버 공격이 증가하고 있어, 대책이 요구되고 있다. 네트워크로부터의 사이버 공격을 막는 기술로서, 화이트리스트형 침입 검지 기술이 알려져 있다. 이 기술은, 허가하는 패킷을 미리 화이트리스트로 불리는 리스트에 정의하고, 화이트리스트에 정의되어 있지 않은 패킷을 공격으로서 검지하는 기술이다.
산업 제어 시스템은, 일반적인 정보 시스템과 비교하여, 운용 형태가 고정적이고, 송수신되는 패킷이 고정적이다. 그 때문에, 산업 제어 시스템에 있어서, 허가하는 패킷을 미리 화이트리스트에 정의하는 것이 가능하다고 생각되고 있어, 사이버 공격 대책으로서 화이트리스트형 침입 검지 기술에 대한 기대가 높아지고 있다.
화이트리스트형 침입 검지에 있어서의 진입 검지의 정밀도는 화이트리스트의 정의에 의존하지만, 일반적으로 화이트리스트의 정의는 용이하지 않다.
따라서, 화이트리스트의 정의에 관한 기술이 요구된다. 특히, 산업 제어 시스템에 있어서, 특징적인 주기 패킷에 대한 검지를 정확하게 행하기 위한 기술이 요구된다.
특허문헌 1에는, 검색 룰에 일치하는 주기 패킷의 전회의 수신 시로부터 타임아웃 시간을 넘은 경우에, 그 검색 룰을 무효화하는 기술이 개시되어 있다. 이와 같이, 주기 패킷의 타임아웃을 판정하는 것에 의해, 주기 패킷의 수신 기간이 종료된 것을 판정하는 것이 가능하게 된다.
비특허문헌 1에서는, 시스템의 운용 상태에 따라 화이트리스트를 전환하는 것에 의해, 복잡한 공격을 검지하는 기술이 제안되어 있다.
예컨대, 프로그램을 컨트롤러에 기입하기 위한 통신은, 시스템의 보수 시에만 행하여지고, 시스템의 가동 중에는 행하여지지 않는다고 생각된다. 따라서, 프로그램 기입의 통신이 보수의 상태에서는 허가되고 가동 중의 상태에서는 허가되지 않도록 화이트리스트를 전환함으로써, 허가해야 할 패킷을 미세하게 제어하고, 복잡한 공격을 검지할 수 있을 가능성이 있다.
이 기술을 이용하여, 허가하는 주기 패킷을 시스템의 운용 상태에 따라 변경함으로써, 주기 패킷의 수신의 개시 및 종료를 판정하는 것이 가능하게 된다.
산업 제어 시스템과 같이 운용이 고정적인 시스템에서는, 수신한 패킷을 허가할지 여부를 판정함과 아울러, 수신해야 할 패킷을 확실히 수신하고 있는 것을 확인할 필요가 있다.
그러나, 특허문헌 1에 기재된 기술에서는, 패킷을 계속적으로 수신하고 있는 것은 판정할 수 있지만, 패킷의 수신이 언제 개시되어 언제 종료되는가라고 하는 상세한 판정은 할 수 없다. 또한, 패킷의 수신의 개시 시 또는 종료 시의 전후의 시간대에 있어서 엄밀한 판정을 할 수 없다.
산업 제어 시스템과 같이 운용이 고정적인 시스템에서는, 상태 천이 패턴도 고정적이고, 임의의 상태 천이가 발생하지 않는다고 생각된다.
그러나, 비특허문헌 1에 기재된 기술에서는, 상태 천이도에서 정해진 임의의 상태 천이가 허용되기 때문에, 복수 회의 상태 천이로 이루어지는 상태 천이 패턴이 시스템의 운용에서 일어나야 할 상태 천이 패턴에 합치하고 있는지 여부는 판정되지 않는다.
특허문헌 1 : 국제 공개 WO2011/096127호
비특허문헌 1 : 야마구치 데루요시 외, "산업 제어 시스템에 있어서의 침입 검지 수법의 조사와 검토", SCIS 2015, 2A4-3, 2015년
본 발명은, 부정한 상태 천이를 검지할 수 있도록 하는 것을 목적으로 한다.
본 발명의 침입 검지 장치는, 운용 시스템의 상태를 특정하는 상태 특정부와, 특정된 상태에 근거하여 상기 운용 시스템의 상태 천이의 유무를 판정하는 상태 천이 판정부와, 상기 운용 시스템의 상태 천이가 있었을 경우에, 상태 천이의 천이 패턴을 나타내는 상태 천이 시나리오를 이용하여, 상기 운용 시스템의 상태 천이가 상기 상태 천이 시나리오에 나타내어지는 천이 패턴에 합치하는지 판정하는 천이 패턴 판정부를 구비한다.
본 발명에 의하면, 부정한 상태 천이를 검지하는 것이 가능하게 된다.
도 1은 실시의 형태 1에 있어서의 운용 시스템(100)의 구성도이다.
도 2는 실시의 형태 1에 있어서의 침입 검지 장치(200)의 구성도이다.
도 3은 실시의 형태 1에 있어서의 상태 관리부(210)의 구성도이다.
도 4는 실시의 형태 1에 있어서의 기억부(291)의 구성도이다.
도 5는 실시의 형태 1에 있어서의 상태 천이 시나리오(320)의 구성도이다.
도 6은 실시의 형태 1에 있어서의 상태 천이도(330)이다.
도 7은 실시의 형태 1에 있어서의 침입 검지 방법의 플로차트이다.
도 8은 실시의 형태 1에 있어서의 운용 시스템(100)의 다른 구성을 나타내는 도면이다.
도 9는 실시의 형태 2에 있어서의 침입 검지 장치(200)의 구성도이다.
도 10은 실시의 형태 2에 있어서의 상태 관리부(210)의 구성도이다.
도 11은 실시의 형태 2에 있어서의 주기 통신 판정부(240)의 구성도이다.
도 12는 실시의 형태 2에 있어서의 기억부(291)의 구성도이다.
도 13은 실시의 형태 2에 있어서의 화이트리스트(340)를 나타내는 도면이다.
도 14는 실시의 형태 2에 있어서의 경보 조건 테이블(360)의 구성도이다.
도 15는 실시의 형태 2에 있어서의 침입 검지 방법의 플로차트이다.
도 16은 실시의 형태 2에 있어서의 주기 통신 판정 처리(S240)의 플로차트이다.
도 17은 실시의 형태 2에 있어서의 주기 통신의 예를 나타내는 도면이다.
도 18은 실시의 형태 3에 있어서의 운용 시스템(100)의 구성도이다.
도 19는 실시의 형태 3에 있어서의 제어 네트워크(105)의 구성도이다.
도 20은 실시의 형태 3에 있어서의 제어 네트워크(105)의 통신 주기의 구성도이다.
도 21은 실시의 형태 3에 있어서의 주기 통신의 예를 나타내는 도면이다.
도 22는 실시의 형태 3에 있어서의 상태 관리부(210)의 구성도이다.
도 23은 실시의 형태 3에 있어서의 기억부(291)의 구성도이다.
도 24는 실시의 형태 3에 있어서의 경보 조건 테이블(370)의 구성도이다.
도 25는 실시의 형태 3에 있어서의 침입 검지 방법의 플로차트이다.
도 26은 실시의 형태에 있어서의 침입 검지 장치(200)의 하드웨어 구성도이다.
실시의 형태 및 도면에 있어서, 동일한 요소 또는 서로 상당하는 요소에는 동일한 부호를 붙이고 있다. 동일한 부호가 붙여진 요소의 설명은 적당하게 생략 또는 간략화한다.
실시의 형태 1.
부정한 상태 천이를 검출하는 형태에 대하여, 도 1 내지 도 8에 근거하여 설명한다.
***구성의 설명***
도 1에 근거하여, 운용 시스템(100)의 구성을 설명한다.
운용 시스템(100)은, 침입 검지의 대상이 되는 시스템이다. 구체적으로는, 운용 시스템(100)은, 산업 제어 시스템이다. 산업 제어 시스템은, 운용이 고정적인 시스템이다.
운용 시스템(100)은, 감시 제어 단말(102)과, 복수의 컨트롤러(103A, 103B)와, 침입 검지 장치(200)와, 보수 네트워크(104)를 구비한다. 복수의 컨트롤러를 총칭하여 컨트롤러(103)라고 한다.
감시 제어 단말(102), 컨트롤러(103) 및 침입 검지 장치(200)는, 보수 네트워크(104)에 접속되어 있다. 보수 네트워크(104)는, 감시 제어 단말(102), 컨트롤러(103) 및 침입 검지 장치(200)가 접속하는 네트워크이다.
감시 제어 단말(102)은, 또한, 정보계 네트워크(101)에 접속되어 있다. 정보계 네트워크(101)는, 감시 제어 단말(102) 및 서버 등이 접속하는 네트워크이다.
감시 제어 단말(102)은, 운용 시스템(100)을 제어하는 컴퓨터이다.
컨트롤러(103)는, 기기를 제어하는 컴퓨터이다.
침입 검지 장치(200)는, 운용 시스템(100)으로의 부정한 액세스를 검지하는 컴퓨터이다. 침입 검지 장치(200)는, 보수 네트워크(104)에 나중에 설치된다.
감시 제어 단말(102)은, 컨트롤러(103)로부터 정보를 수집하고, 수집된 정보를 정보계 네트워크(101)를 통해서 서버에 송신한다.
도 2에 근거하여, 침입 검지 장치(200)의 구성을 설명한다.
침입 검지 장치(200)는, 프로세서(901)와 메모리(902)와 보조 기억 장치(903)와 통신 장치(904)라고 하는 하드웨어를 구비하는 컴퓨터이다. 이들 하드웨어는, 신호선을 통해서 서로 접속되어 있다.
프로세서(901)는, 프로세싱을 행하는 IC(Integrated Circuit)이고, 다른 하드웨어를 제어한다. 구체적으로는, 프로세서(901)는, CPU, DSP 또는 GPU이다. CPU는 Central Processing Unit의 약칭이고, DSP는 Digital Signal Processor의 약칭이고, GPU는 Graphics Processing Unit의 약칭이다.
메모리(902)는 휘발성의 기억 장치이다. 메모리(902)는, 주 기억 장치 또는 메인 메모리라고도 불린다. 구체적으로는, 메모리(902)는 RAM(Random Access Memory)이다.
보조 기억 장치(903)는 비휘발성의 기억 장치이다. 구체적으로는, 보조 기억 장치(903)는, ROM, HDD 또는 플래시 메모리이다. ROM은 Read Only Memory의 약칭이고, HDD는 Hard Disk Drive의 약칭이다.
프로세서(901)와 메모리(902)와 보조 기억 장치(903)를 합한 하드웨어를 "프로세싱 서킷트리"라고 한다.
통신 장치(904)는, 통신을 행하는 장치이고, 리시버와 트랜스미터를 구비한다. 구체적으로는, 통신 장치(904)는 통신 칩 또는 NIC(Network Interface Card)이다.
침입 검지 장치(200)는, 상태 관리부(210)와 화이트리스트 관리부(220)와 침입 검지부(230)라고 하는 "부"를 기능 구성의 요소로서 구비한다. "부"의 기능은 소프트웨어로 실현된다. "부"의 기능에 대해서는 후술한다.
보조 기억 장치(903)에는, "부"의 기능을 실현하는 프로그램이 기억되어 있다. "부"의 기능을 실현하는 프로그램은, 메모리(902)에 로드되어, 프로세서(901)에 의해 실행된다.
또한, 보조 기억 장치(903)에는 OS(Operating System)가 기억되어 있다. OS의 적어도 일부는, 메모리(902)에 로드되어, 프로세서(901)에 의해 실행된다.
다시 말해, 프로세서(901)는, OS를 실행하면서, "부"의 기능을 실현하는 프로그램을 실행한다.
"부"의 기능을 실현하는 프로그램을 실행하여 얻어지는 데이터는, 메모리(902), 보조 기억 장치(903), 프로세서(901) 내의 레지스터 또는 프로세서(901) 내의 캐시 메모리라고 하는 기억 장치에 기억된다.
메모리(902)는, 침입 검지 장치(200)에서 사용, 생성, 입력, 출력, 송신 또는 수신되는 데이터가 기억되는 기억부(291)로서 기능한다. 단, 다른 기억 장치가 기억부(291)로서 기능하더라도 좋다.
통신 장치(904)는 데이터를 통신하는 통신부로서 기능한다. 통신 장치(904)에 있어서, 리시버는 데이터를 수신하는 수신부 및 후술하는 패킷 검출부(292)로서 기능하고, 트랜스미터는 데이터를 송신하는 송신부 및 후술하는 경보 출력부(293)로서 기능한다.
침입 검지 장치(200)는, 프로세서(901)를 대체하는 복수의 프로세서를 구비하더라도 좋다. 복수의 프로세서는, "부"의 기능을 실현하는 프로그램의 실행을 분담한다.
"부"의 기능을 실현하는 프로그램은, 자기 디스크, 광 디스크 또는 플래시 메모리 등의 비휘발성의 기억 매체에 컴퓨터 판독 가능하게 기억할 수 있다. 비휘발성의 기억 매체는, 일시적이 아닌 유형의 매체이다.
"부"는 "처리" 또는 "공정"으로 바꾸어 읽더라도 좋다. "부"의 기능은 펌웨어로 실현하더라도 좋다.
도 3에 근거하여, 상태 관리부(210)의 구성을 설명한다.
상태 관리부(210)는, 상태 특정부(211)와 상태 천이 판정부(212)와 천이 패턴 판정부(213)를 기능 구성의 요소로서 구비한다. 이들 요소의 기능에 대해서는 후술한다.
도 4에 근거하여, 기억부(291)의 구성을 설명한다.
기억부(291)는, 운용 상태 데이터(310), 상태 천이 시나리오(320), 상태 천이도(330) 및 복수의 화이트리스트(340) 등을 기억한다.
화이트리스트(340)는, 이후에 기재되는 화이트리스트 1, 화이트리스트 2 또는 화이트리스트 3 등의 총칭이다.
운용 상태 데이터(310)는, 운용 시스템(100)의 상태를 나타낸다. 운용 시스템(100)의 상태를 운용 상태라고 한다.
구체적으로는, 운용 상태 데이터(310)는, 상태 번호와, 순서 번호와, 패턴 번호를 포함한다.
상태 번호는, 운용 시스템(100)의 상태를 식별하는 번호이다.
순서 번호는, 운용 시스템(100)의 상태 천이에 있어서 운용 시스템(100)이 상태 번호로 식별되는 상태가 된 순번이다.
패턴 번호는, 운용 시스템(100)의 상태 천이에 합치하는 천이 패턴을 식별하는 번호이다.
상태 천이 시나리오(320)는, 미리 결정된 상태 천이의 패턴을 나타낸다. 상태 천이의 패턴을 천이 패턴이라고 한다.
도 5에 근거하여, 상태 천이 시나리오(320)의 구성을 설명한다.
행의 번호는 패턴 번호이고, 열의 번호는 순서 번호이다.
천이 패턴 1은, 상태 1, 상태 2, 상태 1의 순번으로 운용 상태가 천이하는 천이 패턴이다.
천이 패턴 2는, 상태 1, 상태 3, 상태 1, 상태 2의 순번으로 운용 상태가 천이하는 천이 패턴이다.
천이 패턴 3은, 상태 1, 상태 2, 상태 3의 순번으로 운용 상태가 천이하는 천이 패턴이다.
도 5의 상태 천이 시나리오(320)가 이용되는 경우, 도 4의 운용 상태 데이터(310)의 초기치는 이하와 같다.
상태 번호의 초기치는 1이다.
순서 번호의 초기치는 1이다.
패턴 번호의 초기치는 1, 2 및 3이다.
도 4로 돌아와, 상태 천이도(330) 및 화이트리스트(340)를 설명한다.
상태 천이도(330)는, 미리 결정된 상태 천이를 나타내는 데이터이고, 또한, 운용 상태와 화이트리스트(340)가 서로 대응지어진 데이터이다.
화이트리스트(340)는, 운용 시스템(100)에서 통신되는 것이 허가되는 패킷을 나타내는 데이터이다.
운용 시스템(100)에서 통신되는 패킷을 통신 패킷이라고 한다.
운용 시스템(100)에서 통신되는 것이 허가되는 패킷을 허가 패킷이라고 한다.
운용 시스템(100)에서 통신되는 것이 허가되지 않는 패킷을 불가 패킷이라고 한다.
도 6에 근거하여, 상태 천이도(330)의 구성을 설명한다.
상태 천이도(330)는, 상태 1로부터 상태 2 또는 상태 3으로의 천이와, 상태 2로부터 상태 1 또는 상태 3으로의 천이와, 상태 3으로부터 상태 1로의 천이를 나타내고 있다.
상태 천이도(330)에 있어서, 화이트리스트 1이 상태 1에 대응지어지고, 화이트리스트 2가 상태 2에 대응지어지고, 화이트리스트 3이 상태 3에 대응지어져 있다.
***동작의 설명***
침입 검지 장치(200)의 동작은 침입 검지 방법에 상당한다. 또한, 침입 검지 방법의 수순은 침입 검지 프로그램의 수순에 상당한다.
도 7에 근거하여, 침입 검지 방법을 설명한다.
스텝 S101로부터 스텝 S130까지의 처리는, 침입 검지 장치(200)의 침입 검지 기능이 동작하고 있는 동안, 반복 실행된다.
스텝 S101은 패킷 검출 처리이다.
스텝 S101에 있어서, 패킷 검출부(292)는, 통신 패킷을 검출한다.
구체적으로는, 패킷 검출부(292)는, 보수 네트워크(104)에 흐르는 통신 패킷을 수신한다.
스텝 S111은 상태 특정 처리이다.
스텝 S111에 있어서, 상태 특정부(211)는, 운용 시스템(100)의 상태를 특정한다.
구체적으로는, 상태 특정부(211)는, 스텝 S101에서 검출된 통신 패킷의 내용을 해석한다. 그리고, 상태 특정부(211)는, 해석 결과에 근거하여, 운용 시스템(100)의 상태를 식별하는 상태 번호를 특정한다.
스텝 S112는 상태 천이 판정 처리이다.
스텝 S112에 있어서, 상태 천이 판정부(212)는, 스텝 S111에서 특정된 상태에 근거하여, 운용 시스템(100)의 상태 천이의 유무를 판정한다.
구체적으로는, 상태 천이 판정부(212)는, 스텝 S111에서 특정된 상태 번호를, 운용 상태 데이터(310)에 나타내어지는 상태 번호와 비교한다. 그리고, 상태 번호가 상이한 경우에, 상태 천이 판정부(212)는, 운용 시스템(100)의 상태 천이가 있었다고 판정한다.
운용 시스템(100)의 상태 천이가 있었을 경우, 상태 천이 판정부(212)는, 운용 상태 데이터(310)에 포함되는 상태 번호를, 스텝 S111에서 특정된 상태 번호로 갱신한다. 또한, 상태 천이 판정부(212)는, 운용 상태 데이터(310)에 포함되는 순서 번호에 1을 가산한다. 그 후, 처리는 스텝 S113으로 진행된다.
운용 시스템(100)의 상태 천이가 없었던 경우, 처리는 스텝 S130으로 진행된다.
스텝 S113은 천이 패턴 판정 처리이다.
스텝 S113에 있어서, 천이 패턴 판정부(213)는, 운용 시스템(100)의 상태 천이가 상태 천이 시나리오(320)에 나타내어지는 천이 패턴에 합치하는지 판정한다.
구체적으로는, 천이 패턴 판정부(213)는, 이하와 같이 판정을 행한다.
천이 패턴 판정부(213)는, 운용 상태 데이터(310)에 포함되는 패턴 번호마다, 이하의 (1)로부터 (4)를 실행한다.
(1) 천이 패턴 판정부(213)는, 패턴 번호로 식별되는 천이 패턴을 상태 천이 시나리오(320)로부터 선택한다.
(2) 천이 패턴 판정부(213)는, 선택된 천이 패턴으로부터, 운용 상태 데이터(310)에 나타내어지는 순서 번호에 대응하는 상태 번호를 취득한다.
(3) 천이 패턴 판정부(213)는, 취득된 상태 번호를, 운용 상태 데이터(310)에 나타내어지는 상태 번호와 비교한다.
(4) 상태 번호가 일치하지 않는 경우, 천이 패턴 판정부(213)는, 패턴 번호를 운용 상태 데이터(310)로부터 삭제한다.
운용 상태 데이터(310)에 적어도 어느 하나의 패턴 번호가 남은 경우, 천이 패턴 판정부(213)는, 운용 시스템(100)의 상태 천이가 상태 천이 시나리오(320)에 나타내어지는 천이 패턴에 합치한다고 판정한다.
운용 시스템(100)의 상태 천이가 상태 천이 시나리오(320)에 나타내어지는 천이 패턴에 합치하는 경우, 운용 시스템(100)의 상태 천이는 올바르다.
운용 시스템(100)의 상태 천이가 올바른 경우, 처리는 스텝 S120으로 진행된다.
운용 시스템(100)의 상태 천이가 올바르지 않은 경우, 처리는 스텝 S114로 진행된다.
도 5의 상태 천이 시나리오(320)에 근거하여, 스텝 S113을 구체적으로 설명한다.
우선, 최초의 운용 상태가 상태 1이라고 한다. 상태 천이 시나리오(320)에 있어서, 순서 번호 1의 운용 상태가 상태 1인 천이 패턴은, 천이 패턴 1, 천이 패턴 2 및 천이 패턴 3이다. 그 때문에, 운용 상태 데이터(310)에는 패턴 번호 1, 패턴 번호 2 및 패턴 번호 3이 등록된다.
다음으로, 운용 상태가 상태 2로 천이한 것으로 한다. 천이 패턴 1~3 중, 순서 번호 2의 운용 상태가 상태 2인 천이 패턴은, 천이 패턴 1 및 천이 패턴 3이다. 천이 패턴 2는 해당하지 않는다. 그 때문에, 운용 상태 데이터(310)로부터 패턴 번호 2가 삭제된다.
이와 같이, 운용 시스템(100)의 상태 천이에 합치하지 않는 천이 패턴의 패턴 번호가 운용 상태 데이터(310)로부터 삭제되어, 운용 시스템(100)의 상태 천이에 합치하는 천이 패턴이 좁혀진다.
어느 순서에 있어서, 운용 시스템(100)의 상태 천이에 합치하는 천이 패턴이 없어진 경우, 운용 시스템(100)의 상태 천이는 부정하다.
도 7로 돌아와, 스텝 S114로부터 설명을 계속한다.
스텝 S114는 경보 출력 처리이다.
스텝 S114에 있어서, 경보 출력부(293)는, 경보를 출력한다. 이 경보는, 부정한 상태 천이가 발생한 것을 알리는 메시지이다.
구체적으로는, 천이 패턴 판정부(213)가 경보를 포함한 통보 패킷을 생성하고, 경보 출력부(293)가 통보 패킷을 감시 제어 단말(102)에 송신한다.
스텝 S114의 후, 처리는 스텝 S101로 진행된다.
스텝 S120은 화이트리스트 관리 처리이다.
스텝 S120에 있어서, 화이트리스트 관리부(220)는, 침입 검지 처리(S130)에서 사용하는 화이트리스트(340)를, 운용 시스템(100)의 상태에 대응하는 화이트리스트(340)로 전환한다.
구체적으로는, 화이트리스트 관리부(220)는, 상태 천이도(330)를 이용하여, 복수의 화이트리스트(340)로부터, 운용 시스템(100)의 상태에 대응지어진 화이트리스트(340)를 선택한다. 선택된 화이트리스트(340)는, 이후의 침입 검지 처리(S130)에서 사용된다.
도 6의 상태 천이도(330)에 있어서, 운용 시스템(100)의 상태가 상태 2인 경우, 선택되는 화이트리스트(340)는 화이트리스트 2이다.
스텝 S130은 침입 검지 처리이다.
스텝 S130에 있어서, 침입 검지부(230)는, 화이트리스트형 침입 검지를 행한다.
구체적으로는, 침입 검지부(230)는, 이하와 같이 화이트리스트형 침입 검지를 행한다.
우선, 침입 검지부(230)는, 스텝 S101에서 검출된 통신 패킷으로부터 송신원 어드레스 및 수신지 어드레스 등의 정보를 취득한다.
다음으로, 침입 검지부(230)는, 취득된 정보에 근거하여, 스텝 S101에서 검출된 통신 패킷이, 화이트리스트(340)에 나타내어지는 허가 패킷인지 판정한다.
통신 패킷이 허가 패킷이 아닌 경우, 침입 검지부(230)는, 경보를 포함한 통보 패킷을 생성한다. 이 경보는, 불가 패킷이 검출된 것을 알리는 메시지이다. 그리고, 경보 출력부(293)는, 통보 패킷을 감시 제어 단말(102)에 송신한다.
스텝 S130의 후, 처리는 스텝 S101로 진행된다.
***실시의 형태 1의 효과***
부정한 상태 천이를 검출하는 것이 가능하게 된다.
구체적으로는, 산업 제어 시스템과 같이 고정적인 운용 형태를 취하는 운용 시스템(100)에 있어서, 운용 시스템(100)에서 허가되는 천이 패턴이 등록된 상태 천이 시나리오(320)를 이용하는 것에 의해, 허가해야 할 통신 패턴을 보다 정확하게 판정할 수 있는 효과를 얻을 수 있다.
도 6의 상태 천이도(330)에서는, 상태 1과 상태 2가 교대로 반복되는 상태 천이는, 올바른 상태 천이이다.
한편, 도 5의 상태 천이 시나리오(320)에서는, 상태 1과 상태 2가 교대로 반복되는 상태 천이는, 어느 천이 패턴에도 정의되어 있지 않기 때문에, 부정한 상태 천이이다.
다시 말해, 상태 천이 시나리오(320)를 이용하여 부정한 상태 천이를 검지하는 것에 의해, 상태 천이도(330)를 이용하여 검지할 수 없는 부정한 상태 천이를 검지하는 것이 가능하게 된다.
***다른 구성***
침입 검지 장치(200)는, 보수 네트워크(104)에 접속되는 기기에 내장되더라도 좋다.
도 8에 나타내는 바와 같이, 침입 검지 장치(200)는, 컨트롤러(103)에 내장되더라도 좋다.
침입 검지 장치(200)는, 입력을 접수하는 입력 장치 및 화상 등을 표시하는 디스플레이를 구비하더라도 좋다. 구체적인 입력 장치는, 키보드 및 마우스이다.
상태 천이 시나리오(320)에 나타내어지는 천이 패턴은, 1개이더라도 복수이더라도 좋고, 추가, 변경 또는 삭제되더라도 좋다.
상태 특정부(211)는, 통신 패킷의 내용을 해석하는 이외의 방법으로, 운용 시스템(100)의 상태를 특정하더라도 좋다.
구체적으로는, 상태 특정부(211)는, 운용 시스템(100)의 상태를 감시 제어 단말(102)에 문의하더라도 좋다.
상태 천이도(330)는, 운용 상태와 화이트리스트가 서로 대응지어진 데이터이면, 다른 형식의 데이터로 치환하더라도 좋다.
구체적으로는, 운용 상태와 화이트리스트가 서로 대응지어진 테이블 형식의 데이터가, 상태 천이도(330) 대신에 이용되더라도 좋다.
경보는, 경보를 포함한 통보 패킷을 송신하는 이외의 방법으로 출력되더라도 좋다.
구체적으로는, 경보는, 디스플레이에 표시되더라도 좋고, 음성으로 출력되더라도 좋다.
실시의 형태 2.
부정한 주기 통신을 검지하는 형태에 대하여, 주로 실시의 형태 1과 상이한 점을, 도 9 내지 도 17에 근거하여 설명한다.
***구성의 설명***
운용 시스템(100)의 구성은, 실시의 형태 1과 동일하다.
도 9에 근거하여, 침입 검지 장치(200)의 구성을 설명한다.
침입 검지 장치(200)는, 상태 관리부(210)와 화이트리스트 관리부(220)와 침입 검지부(230)와 주기 통신 판정부(240)를 기능 구성의 요소로서 구비한다.
도 10에 근거하여, 상태 관리부(210)의 구성을 설명한다.
상태 관리부(210)는, 상태 특정부(211)와 상태 천이 판정부(212)를 기능 구성의 요소로서 구비한다.
도 11에 근거하여, 주기 통신 판정부(240)의 구성을 설명한다.
주기 통신 판정부(240)는, 허가 여부 특정부(241)와 검출 간격 산출부(242)와 경보 판정부(243)를 기능 구성의 요소로서 구비한다.
도 12에 근거하여, 기억부(291)의 구성을 설명한다.
기억부(291)는, 운용 상태 데이터(310), 상태 천이도(330), 복수의 화이트리스트(340), 주기 통신 데이터(350) 및 경보 조건 테이블(360) 등을 기억한다.
운용 상태 데이터(310)는, 상태 번호와, 천이 시각을 포함한다.
상태 번호는, 실시의 형태 1에서 설명한 바와 같다.
천이 시각은, 운용 시스템(100)의 상태가 상태 번호로 식별되는 상태로 천이한 시각이다.
상태 천이도(330)는, 실시의 형태 1에서 설명한 바와 같다.
도 13에 근거하여, 화이트리스트 1 및 화이트리스트 2의 구체예를 설명한다.
화이트리스트 1은, 상태 1에 대응지어진 화이트리스트(340)이다.
화이트리스트 1에 있어서, 패킷 A 및 패킷 B는 허가 패킷이고, 패킷 C는 불가 패킷이다.
화이트리스트 2는, 상태 2에 대응지어진 화이트리스트(340)이다.
화이트리스트 2에 있어서, 패킷 B 및 패킷 C는 허가 패킷이고, 패킷 A는 불가 패킷이다.
다시 말해, 운용 시스템(100)의 상태가 상태 1로부터 상태 2로 천이한 경우, 허가 패킷이었던 패킷 A는 불가 패킷이 되고, 불가 패킷이었던 패킷 C는 허가 패킷이 된다.
도 12로 돌아와, 주기 통신 데이터(350)를 설명한다.
주기 통신 데이터(350)는, 주기 패킷의 통신 상황을 나타낸다.
주기 패킷은, 정기적으로 통신되는 통신 패킷이다. 주기 패킷은 통신 주기마다 통신된다. 통신 주기가 1분인 경우, 주기 패킷은 1분마다 통신된다.
구체적으로는, 주기 통신 데이터(350)는, 주기 패킷의 종류마다 통신 주기와 전회 시각을 포함한다. 전회 시각은, 주기 패킷이 전회 검출된 시각이다. 전회 시각의 초기치는, 미검출을 나타내는 값이다.
도 14에 근거하여, 경보 조건 테이블(360)의 구성을 설명한다.
경보 조건 테이블(360)은, 경보 조건 레코드(361A~361G)를 포함하고 있다. 경보 조건 레코드(361A)로부터 경보 조건 레코드(361G)를 총칭하여 경보 조건 레코드(361)라고 한다.
경보 조건 레코드(361)에는, 상태 천이 전의 허가 여부와, 상태 천이 후의 허가 여부와, 통신 간격과, 경보의 요부(要否)가 서로 대응지어진다.
통신 간격의 난에 있어서, 하이픈은 통신 간격의 조건이 없는 것을 의미한다.
***동작의 설명***
도 15에 근거하여, 침입 검지 방법을 설명한다.
스텝 S201로부터 스텝 S250까지의 처리는, 침입 검지 장치(200)의 침입 검지 기능이 동작하고 있는 동안, 반복 실행된다.
스텝 S201로부터 스텝 S212는, 실시의 형태 1에 있어서의 도 7의 스텝 S101로부터 스텝 S112와 동일하다.
운용 시스템(100)의 상태 천이가 있었을 경우, 상태 천이 판정부(212)는, 운용 상태 데이터(310)에 포함되는 상태 번호를, 스텝 S211에서 특정된 상태 번호로 갱신한다. 또한, 상태 천이 판정부(212)는, 운용 상태 데이터(310)에 포함되는 천이 시각을 갱신한다. 구체적으로는, 상태 천이 판정부(212)는, 현재 시각 또는 스텝 S201에서 통신 패킷이 검출된 시각으로 천이 시각을 갱신한다. 그 후, 처리는 스텝 S220으로 진행된다.
운용 시스템(100)의 상태 천이가 없었던 경우, 처리는 스텝 S250으로 진행된다.
스텝 S220은, 실시의 형태 1에 있어서의 도 7의 스텝 S120과 동일하다.
스텝 S220의 후, 처리는 스텝 S230으로 진행된다.
스텝 S230에 있어서, 주기 통신 판정부(240)는, 스텝 S201에서 검출된 통신 패킷이 주기 패킷인지 판정한다.
구체적으로는, 주기 패킷에는, 주기 패킷인 것을 나타내는 주기 플래그가 설정된다. 스텝 S201에서 검출된 통신 패킷에 주기 플래그가 설정되어 있는 경우, 주기 통신 판정부(240)는, 스텝 S201에서 검출된 통신 패킷이 주기 패킷이라고 판정한다.
스텝 S201에서 검출된 통신 패킷이 주기 패킷인 경우, 처리는 스텝 S240으로 진행된다.
스텝 S201에서 검출된 통신 패킷이 주기 패킷이 아닌 경우, 처리는 스텝 S250으로 진행된다.
스텝 S240은 주기 통신 판정 처리이다.
스텝 S240에 있어서, 주기 통신 판정부(240)는, 주기 통신 판정 처리를 행한다.
주기 통신 판정 처리(S240)에 대해서는 후술한다.
스텝 S240의 후, 처리는 스텝 S201로 진행된다.
스텝 S250은, 실시의 형태 1에 있어서의 도 7의 스텝 S130과 동일하다.
스텝 S250의 후, 처리는 스텝 S201로 진행된다.
도 16에 근거하여, 주기 통신 판정 처리(S240)를 설명한다.
스텝 S241-1 및 스텝 S241-2는 허가 여부 특정 처리이다.
스텝 S241-1에 있어서, 허가 여부 특정부(241)는, 상태 천이 전의 상태에 대응지어진 화이트리스트(340)를 이용하여, 상태 천이 전의 주기 패킷의 허가 여부를 특정한다.
상태 천이 전의 상태란, 운용 시스템(100)의 전회의 상태이다.
상태 천이 전의 상태에 대응지어진 화이트리스트(340)란, 스텝 S220에서 전환되기 전의 화이트리스트(340)이다. 이 화이트리스트(340)를 상태 천이 전의 화이트리스트(340)라고 한다.
상태 천이 전의 주기 패킷의 허가 여부란, 상태 천이 전의 화이트리스트(340)를 이용하여 특정되는 주기 패킷의 허가 여부이다.
구체적으로는, 허가 여부 특정부(241)는, 이하와 같이 주기 패킷의 허가 여부를 특정한다.
우선, 허가 여부 특정부(241)는, 스텝 S201에서 검출된 주기 패킷으로부터 송신원 어드레스 및 수신지 어드레스 등의 정보를 취득한다.
그리고, 허가 여부 특정부(241)는, 취득된 정보에 근거하여, 스텝 S201에서 검출된 주기 패킷이, 화이트리스트(340)에 나타내어지는 허가 패킷인지 판정한다.
도 13에 있어서, 상태 천이 전의 화이트리스트(340)가 화이트리스트 1이고, 검출된 주기 패킷이 패킷 A인 경우, 상태 천이 전의 주기 패킷은, 허가 패킷이다.
도 13에 있어서, 상태 천이 전의 화이트리스트(340)가 화이트리스트 1이고, 검출된 주기 패킷이 패킷 C인 경우, 상태 천이 전의 주기 패킷은, 불가 패킷이다.
도 16으로 돌아와, 스텝 S241-2를 설명한다.
스텝 S241-2에 있어서, 허가 여부 특정부(241)는, 상태 천이 후의 상태에 대응지어진 화이트리스트(340)를 이용하여, 상태 천이 후의 주기 패킷의 허가 여부를 특정한다.
상태 천이 후의 상태란, 운용 시스템(100)의 현재의 상태이다.
상태 천이 후의 상태에 대응지어진 화이트리스트(340)란, 스텝 S220에서 전환된 후의 화이트리스트(340)이다. 이 화이트리스트(340)를 상태 천이 후의 화이트리스트(340)라고 한다.
상태 천이 후의 주기 패킷의 허가 여부란, 상태 천이 후의 화이트리스트(340)를 이용하여 특정되는 주기 패킷의 허가 여부이다.
주기 패킷의 허가 여부를 특정하는 방법은, 스텝 S241-1과 동일하다.
도 13에 있어서, 상태 천이 후의 화이트리스트(340)가 화이트리스트 2이고, 검출된 주기 패킷이 패킷 A인 경우, 상태 천이 후의 주기 패킷은, 불가 패킷이다.
도 13에 있어서, 상태 천이 후의 화이트리스트(340)가 화이트리스트 2이고, 검출된 주기 패킷이 패킷 C인 경우, 상태 천이 후의 주기 패킷은, 허가 패킷이다.
도 16으로 돌아와, 스텝 S242로부터 설명을 계속한다.
스텝 S242는 검출 간격 산출 처리이다.
스텝 S242에 있어서, 검출 간격 산출부(242)는, 주기 패킷이 검출된 검출 간격을 산출한다.
검출 간격은, 금회 검출된 주기 패킷과 동일한 종류의 주기 패킷이 전회 검출된 시각으로부터, 주기 패킷이 금회 검출된 시각까지의 시간이다.
단, 주기 패킷이 처음으로 검출된 경우, 검출 간격 산출부(242)는, 운용 시스템(100)의 상태가 주기 패킷이 검출되었을 때의 상태가 된 시각으로부터 경과한 시간을, 검출 간격으로서 산출한다.
구체적으로는, 주기 통신 판정부(240)는, 이하와 같이 검출 간격을 산출한다.
우선, 주기 통신 판정부(240)는, 주기 패킷으로부터 송신원 어드레스 및 수신지 어드레스 등의 정보를 취득하고, 취득된 정보에 근거하여 주기 패킷의 종류를 특정한다.
다음으로, 주기 통신 판정부(240)는, 주기 통신 데이터(350)로부터, 특정된 종류의 전회 시각을 취득한다.
취득된 전회 시각이 미검출을 나타내는 값이 아닌 경우, 주기 통신 판정부(240)는, 취득된 전회 시각으로부터 금회 시각까지의 시간을 산출한다. 산출되는 시간이 검출 간격이다. 구체적으로는, 금회 시각은, 현재 시각 또는 스텝 S201에서 주기 패킷이 검출된 시각이다.
취득된 전회 시각이 미검출을 나타내는 값인 경우, 주기 통신 판정부(240)는, 운용 상태 데이터(310)로부터 천이 시각을 취득하고, 취득된 천이 시각으로부터 금회 시각까지의 시간을 산출한다. 산출되는 시간이 검출 간격이다.
스텝 S243은 경보 판정 처리이다.
스텝 S243에 있어서, 경보 판정부(243)는, 경보 조건 테이블(360)과, 상태 천이 전의 주기 패킷의 허가 여부와, 상태 천이 후의 주기 패킷의 허가 여부와, 주기 패킷의 검출 간격에 근거하여, 경보의 요부를 판정한다.
구체적으로는, 경보 판정부(243)는, 이하와 같이 경보의 요부를 판정한다.
우선, 경보 판정부(243)는, 스텝 S241-1에서 특정된 허가 여부와, 스텝 S241-2에서 특정된 허가 여부와, 스텝 S242에서 산출된 검출 간격에 대응하는 경보 조건 레코드(361)를 경보 조건 테이블(360)로부터 선택한다.
그리고, 경보 판정부(243)는, 선택된 경보 조건 레코드(361)에 포함되는 경보의 요부를 참조한다.
스텝 S241-1에서 특정된 허가 여부가 허가이고, 스텝 S241-2에서 특정된 허가 여부가 허가인 경우, 도 14의 경보 조건 테이블(360)로부터, 경보 조건 레코드(361A)가 선택된다. 이 경우, 경보가 불필요하다.
스텝 S241-1에서 특정된 허가 여부가 허가이고, 스텝 S241-2에서 특정된 허가 여부가 불가이고, 스텝 S242에서 산출된 검출 간격이 통신 주기보다 짧은 경우, 도 14의 경보 조건 테이블(360)로부터, 경보 조건 레코드(361B)가 선택된다. 이 경우, 경보가 필요하다.
스텝 S241-1에서 특정된 허가 여부가 허가이고, 스텝 S241-2에서 특정된 허가 여부가 불가이고, 스텝 S242에서 산출된 검출 간격이 통신 주기 이상인 경우, 도 14의 경보 조건 테이블(360)로부터, 경보 조건 레코드(361C) 또는 경보 조건 레코드(361D)가 선택된다. 이 경우, 경보가 불필요하다.
검출 간격과 비교되는 통신 주기는, 주기 통신 데이터(350)에 포함되는 통신 주기 중, 주기 패킷의 종류에 대응하는 통신 주기이다.
스텝 S241-1에서 특정된 허가 여부가 불가이고, 스텝 S241-2에서 특정된 허가 여부가 허가이고, 스텝 S242에서 산출된 검출 간격이 대기 시간 이하인 경우, 도 14의 경보 조건 테이블(360)로부터, 경보 조건 레코드(361E)가 선택된다. 이 경우, 경보가 불필요하다.
스텝 S241-1에서 특정된 허가 여부가 불가이고, 스텝 S241-2에서 특정된 허가 여부가 허가이고, 스텝 S242에서 산출된 검출 간격이 대기 시간보다 긴 경우, 도 14의 경보 조건 테이블(360)로부터, 경보 조건 레코드(361F)가 선택된다. 이 경우, 경보가 필요하다.
대기 시간은, 미리 결정된 시간이다. 대기 시간은, 통신 주기보다 짧다.
스텝 S241-1에서 특정된 허가 여부가 불가이고, 스텝 S241-2에서 특정된 허가 여부가 불가인 경우, 도 14의 경보 조건 테이블(360)로부터, 경보 조건 레코드(361G)가 선택된다. 이 경우, 경보가 필요하다.
경보가 필요한 경우, 처리는 스텝 S244로 진행된다.
경보가 불필요한 경우, 처리는 종료된다.
스텝 S244는 경보 출력 처리이다.
스텝 S244에 있어서, 경보 출력부(293)는, 경보를 출력한다. 이 경보는, 올바르게 주기 통신이 행하여지고 있지 않은 것을 알리는 메시지이다.
구체적으로는, 경보 판정부(243)가 경보를 포함한 통보 패킷을 생성하고, 경보 출력부(293)가 통보 패킷을 감시 제어 단말(102)에 송신한다.
스텝 S244의 후, 처리는 종료된다.
도 17에 근거하여, 침입 검지 방법을 구체적으로 설명한다.
제 1 종류의 주기 패킷을 패킷 A111이라고 하고, 제 2 종류의 주기 패킷을 패킷 B112라고 하고, 제 3 종류의 주기 패킷을 패킷 C113이라고 한다. 주기 패킷의 통신 주기는 동일하다.
패킷 A111, 패킷 B112 및 패킷 C113의 통신 주기마다 구분된 통신 기간을 기간 1, 기간 2, 기간 3 및 기간 4라고 한다.
운용 상태는 기간 2와 기간 3의 사이에서 상태 1로부터 상태 2로 천이한다.
이것에 따라, 화이트리스트(340)는, 도 13의 화이트리스트 1로부터 도 13의 화이트리스트 2로 전환된다.
그 결과, 기간 1 및 기간 2에서 허가되고 있던 패킷 A111은 기간 3 이후에서 허가되지 않게 된다. 한편, 기간 1 및 기간 2에서 허가되지 않았던 패킷 C113은 기간 3 이후에서 허가된다.
운용 상태가 상태 2로 천이한 결과, 패킷 A111이 허가되지 않게 되지만, 상태 천이의 직후에 있어서는, 패킷 A111이 정말로 허가해서는 안 되는 주기 패킷인지 애매한 경우가 있다.
그와 같은 경우에 대하여, 도 14의 경보 조건 테이블(360)에 미리 정의된다.
도 14의 경보 조건 테이블(360)에 있어서, 패킷 A111에 해당하는 레코드는, 경보 조건 레코드(361B)로부터 경보 조건 레코드(361D)이다.
경보 조건 레코드(361B)에 나타내는 바와 같이, 패킷 A111이 통신 주기보다 짧은 통신 간격으로 검출된 경우, 경보가 출력된다. 다시 말해, 패킷 A111은 허가되지 않는다.
경보 조건 레코드(361C)에 나타내는 바와 같이, 패킷 A111이 통신 주기대로 검출된 경우, 경보는 출력되지 않는다. 다시 말해, 패킷 A111은 허가된다.
경보 조건 레코드(361D)에 나타내는 바와 같이, 패킷 A111이 통신 주기보다 긴 통신 간격으로 검출된 경우, 경보는 출력되지 않는다. 다시 말해, 패킷 A111은 허가된다.
한편, 상태 천이 후에 허가되는 패킷 C113에 관해서는, 상태 천이 후에 통신이 개시될 필요가 있다.
도 14의 경보 조건 테이블(360)에 있어서, 패킷 C113에 해당하는 레코드는, 경보 조건 레코드(361E) 및 경보 조건 레코드(361F)이다.
경보 조건 레코드(361E)에 나타내는 바와 같이, 패킷 C113이 대기 시간 이내에 검출된 경우, 경보는 출력되지 않는다. 다시 말해, 패킷 C113의 통신은 올바르게 개시되어 있다.
경보 조건 레코드(361F)에 나타내는 바와 같이, 패킷 C113이 대기 시간 이내에 검출되지 않은 경우, 경보가 출력된다. 다시 말해, 패킷 C113의 통신은 올바르게 개시되어 있지 않다.
도 17에 있어서, 패킷 C113은 기간 3에 검출되지 않았기 때문에, 패킷 C113의 통신은 올바르게 개시되어 있지 않고, 경보가 출력된다.
***실시의 형태 2의 효과***
부정한 주기 통신을 검지하는 것이 가능하게 된다.
구체적으로는, 상태 천이의 경계에서 통신이 개시 또는 종료되는 주기 패킷에 관해서는, 통상보다 상세한 판정이 행하여진다. 그 때문에, 산업 제어 시스템과 같이 고정적인 운용 형태를 취하는 운용 시스템(100)에 있어서, 허가해야 할 통신 패턴을 보다 정확하게 판정할 수 있는 효과를 얻을 수 있다.
***다른 구성***
실시의 형태 2에 있어서의 경보 조건 테이블(360)은, 도 14의 경보 조건 테이블(360)로 한정되는 것이 아니다.
실시의 형태 3.
상태 천이 패킷이 이용되는 형태에 대하여, 주로 실시의 형태 1 및 실시의 형태 2와 상이한 점을, 도 18 내지 도 25에 근거하여 설명한다.
***구성의 설명***
도 18에 근거하여, 운용 시스템(100)의 구성을 설명한다.
운용 시스템(100)은, 제어 네트워크(105)를 구비한다.
제어 네트워크(105)는, 운용 시스템(100)의 제어에 필요한 리얼타임성이 보증된 고속의 높은 신뢰성의 네트워크이다.
감시 제어 단말(102) 및 컨트롤러(103)는, 제어 네트워크(105)에도 접속된다.
도 19, 도 20 및 도 21에 근거하여, 제어 네트워크(105)의 구성을 설명한다.
도 19에 있어서, 제어 네트워크(105)는, 제어 통신 대역과 통상 통신 대역을 갖는다.
제어 통신 대역은, 제어 패킷용의 통신 대역이다. 제어 패킷은, 운용 시스템(100)을 제어하기 위해 통신되는 통신 패킷이다. 제어 패킷에는, 주기 패킷이 포함된다. 제어 통신 대역에서는, 리얼타임성이 보증되어 있다.
통상 통신 대역은, 다른 패킷용의 통신 대역이다. 다른 패킷은, 제어 패킷 이외의 통신 패킷이다. 통상 통신 대역에서는, TCP/IP 등을 이용한 통상의 데이터 통신이 행하여진다. TCP는 Transmission Control Protocol의 약칭이고, IP는 Internet Protocol의 약칭이다.
도 20에 있어서, 제어 네트워크(105)는, 제어 통신 시간과 통상 통신 시간을 포함한 통신 주기를 갖는다.
제어 통신 시간은, 주기 패킷용의 통신 시간이다. 제어 통신 시간에는, 지터가 적고 리얼타임성이 높은 통신이 행하여진다.
통상 통신 시간은, 다른 패킷용의 통신 시간이다. 통상 통신 시간에는, TCP/IP 등을 이용한 통상의 데이터 통신이 행하여진다.
구체적으로는, 제어 네트워크(105)의 통신 주기가 1㎳인 경우, 제어 통신 시간은 전반의 0.5㎳이고, 통상 통신 시간은 후반의 0.5㎳이다.
제어 네트워크(105)에 있어서, 상태 천이 패킷이 통신된다.
상태 천이 패킷은, 운용 시스템(100)의 상태가 천이할 때에 통신되는 패킷이다.
상태 천이 패킷에는, 상태 천이 후의 운용 시스템(100)의 상태를 나타내는 상태 번호가 포함된다.
상태 천이 패킷은, 통신 주기마다 구분된 통신 기간 중 운용 시스템(100)의 상태가 천이하는 시각을 포함한 통신 기간에 있어서, 통신 패킷용의 통신 시간에 통신된다.
도 21에 있어서, 상태 천이 패킷(114)은, 기간 2의 통상 통신 시간에 통신되고 있다.
침입 검지 장치(200)의 구성은, 실시의 형태 2의 도 9와 동일하다.
도 22에 근거하여, 상태 관리부(210)의 구성을 설명한다.
상태 관리부(210)는, 상태 특정부(211)와 상태 천이 판정부(212)를 기능 구성의 요소로서 구비한다.
도 23에 근거하여, 기억부(291)의 구성을 설명한다.
기억부(291)는, 운용 상태 데이터(310), 상태 천이도(330), 복수의 화이트리스트(340), 주기 통신 데이터(350) 및 경보 조건 테이블(370) 등을 기억한다.
도 24에 근거하여, 경보 조건 테이블(370)의 구성을 설명한다.
경보 조건 테이블(370)은, 경보 조건 레코드(371A~371E)를 포함하고 있다. 경보 조건 레코드(371A)로부터 경보 조건 레코드(371E)를 총칭하여 경보 조건 레코드(371)라고 한다.
경보 조건 레코드(371)에는, 상태 천이 전의 허가 여부와, 상태 천이 후의 허가 여부와, 통신 간격과, 경보의 요부가 서로 대응지어진다.
통신 간격의 난에 있어서, 하이픈은 통신 간격의 조건이 없는 것을 의미한다.
***동작의 설명***
도 25에 근거하여, 침입 검지 방법을 설명한다.
스텝 S301로부터 스텝 S320까지의 처리는, 침입 검지 장치(200)의 침입 검지 기능이 동작하고 있는 동안, 반복 실행된다.
스텝 S301은, 실시의 형태 1에 있어서의 도 7의 스텝 S101과 동일하다.
스텝 S302는 상태 천이 판정 처리이다.
스텝 S302에 있어서, 상태 천이 판정부(212)는, 스텝 S301에서 검출된 통신 패킷이 상태 천이 패킷인지 판정한다.
구체적으로는, 상태 천이 패킷에는, 상태 천이 패킷인 것을 나타내는 상태 천이 플래그가 설정된다. 스텝 S301에서 검출된 통신 패킷에 상태 천이 플래그가 설정되어 있는 경우, 상태 천이 판정부(212)는, 스텝 S301에서 검출된 통신 패킷이 상태 천이 패킷이라고 판정한다.
스텝 S301에서 검출된 통신 패킷이 상태 천이 패킷인 경우, 상태 특정부(211)는, 상태 천이 후의 운용 시스템(100)의 상태를 특정한다. 구체적으로는, 상태 특정부(211)는, 상태 천이 패킷으로부터 상태 번호를 취득한다. 취득되는 상태 번호로 식별되는 상태가 상태 천이 후의 운용 시스템(100)의 상태이다. 그 후, 처리는 스텝 S310으로 진행된다.
스텝 S301에서 검출된 통신 패킷이 상태 천이 패킷이 아닌 경우, 처리는 스텝 S330으로 진행된다.
스텝 S310은, 실시의 형태 1에 있어서의 도 7의 스텝 S120과 동일하다.
스텝 S320은, 실시의 형태 2에 있어서의 도 15의 스텝 S240과 동일하다.
스텝 S330은, 실시의 형태 1에 있어서의 도 7의 스텝 S130과 동일하다.
도 21에 근거하여, 침입 검지 방법을 구체적으로 설명한다.
주기 패킷인 패킷 A111, 패킷 B112 및 패킷 C113은, 제어 통신 시간에 통신된다.
상태 천이 패킷(114)은, 기간 2의 통상 통신 시간에 통신된다.
상태 천이 패킷(114)이 기간 2의 통상 통신 시간에 통신되는 것이 보증되기 때문에, 기간 2와 기간 3의 경계에서 엄밀하게 주기 패킷의 허가 여부를 변경할 수 있다.
운용 상태는 기간 2와 기간 3의 사이에서 상태 1로부터 상태 2로 천이한다.
이것에 따라, 화이트리스트(340)는, 도 13의 화이트리스트 1로부터 도 13의 화이트리스트 2로 전환된다.
그 결과, 기간 1 및 기간 2에서 허가되고 있던 패킷 A111은 기간 3 이후에서 허가되지 않게 된다. 한편, 기간 1 및 기간 2에서 허가되지 않았던 패킷 C113은 기간 3 이후에서 허가된다.
도 24의 경보 조건 테이블(370)에 있어서, 패킷 A111에 해당하는 레코드는, 경보 조건 레코드(371B)이다.
경보 조건 레코드(371B)에 나타내는 바와 같이, 운용 상태가 상태 2로 천이한 후에 패킷 A111이 검출된 경우, 경보가 출력된다. 다시 말해, 패킷 A111은 허가되지 않는다.
도 24의 경보 조건 테이블(370)에 있어서, 패킷 C113에 해당하는 레코드는, 경보 조건 레코드(371C) 및 경보 조건 레코드(371D)이다.
경보 조건 레코드(371C)에 나타내는 바와 같이, 패킷 C113이 대기 시간 이내에 검출된 경우, 경보는 출력되지 않는다. 다시 말해, 패킷 C113C의 통신은 올바르게 개시되어 있다.
경보 조건 레코드(371D)에 나타내는 바와 같이, 패킷 C113이 대기 시간 이내에 검출되지 않은 경우, 경보가 출력된다. 다시 말해, 패킷 C113의 통신은 올바르게 개시되어 있지 않다.
***실시의 형태 3의 효과***
부정한 주기 통신을 검지하는 것이 가능하게 된다.
구체적으로는, 높은 신뢰성의 사이클릭 통신을 이용하여 상태 천이의 신호가 되는 상태 천이 패킷이 통신된다. 그 때문에, 주기 통신이 개시 또는 종료되는 정확한 타이밍에 상태 천이를 행하는 것이 가능하게 된다. 그리고, 산업 제어 시스템과 같이 고정적인 운용 형태를 취하는 운용 시스템(100)에 있어서, 허가해야 할 통신 패턴을 보다 정확하게 판정할 수 있는 효과를 얻을 수 있다.
***다른 구성***
도 18의 운용 시스템(100)에 있어서, 침입 검지 장치(200)는, 실시의 형태 1의 도 1과 동일하게, 컨트롤러(103)로부터 독립하여 마련되더라도 좋다. 그 경우, 침입 검지 장치(200)는, 도 18의 운용 시스템(100)에 있어서, 제어 네트워크(105)에 접속된다.
도 25의 침입 검지 방법에 있어서, 주기 통신 판정 처리(S320)를 생략하더라도 좋다. 그 경우, 주기 통신 판정부(240), 운용 상태 데이터(310), 주기 통신 데이터(350) 및 경보 조건 테이블(370)은, 불필요하다.
***실시의 형태의 보충***
실시의 형태에 있어서, 침입 검지 장치(200)의 기능은 하드웨어로 실현하더라도 좋다.
도 26에, 침입 검지 장치(200)의 기능이 하드웨어로 실현되는 경우의 구성을 나타낸다.
침입 검지 장치(200)는 처리 회로(990)를 구비한다. 처리 회로(990)는 프로세싱 서킷트리라고도 한다.
처리 회로(990)는, 상태 관리부(210)와 화이트리스트 관리부(220)와 침입 검지부(230)와 주기 통신 판정부(240)라고 하는 "부"의 기능을 실현하는 전용 전자 회로이다.
구체적으로는, 처리 회로(990)는, 단일 회로, 복합 회로, 프로그램화한 프로세서, 병렬 프로그램화한 프로세서, 로직 IC, GA, ASIC, FPGA 또는 이들의 조합이다. GA는 Gate Array의 약칭이고, ASIC는 Application Specific Integrated Circuit의 약칭이고, FPGA는 Field Programmable Gate Array의 약칭이다.
침입 검지 장치(200)는, 처리 회로(990)를 대체하는 복수의 처리 회로를 구비하더라도 좋다. 복수의 처리 회로는, "부"의 기능을 분담한다.
침입 검지 장치(200)의 기능은, 소프트웨어와 하드웨어의 조합으로 실현하더라도 좋다. 다시 말해, "부"의 기능의 일부를 소프트웨어로 실현하고, "부"의 기능의 나머지를 하드웨어로 실현하더라도 좋다.
실시의 형태는, 바람직한 형태의 예시이고, 본 발명의 기술적 범위를 제한하는 것을 의도하는 것이 아니다. 실시의 형태는, 부분적으로 실시하더라도 좋고, 다른 형태와 조합하여 실시하더라도 좋다. 플로차트 등을 이용하여 설명한 수순은, 적당하게 변경하더라도 좋다.
100 : 운용 시스템
101 : 정보계 네트워크
102 : 감시 제어 단말
103 : 컨트롤러
104 : 보수 네트워크
105 : 제어 네트워크
111 : 패킷 A
112 : 패킷 B
113 : 패킷 C
114 : 상태 천이 패킷
200 : 침입 검지 장치
210 : 상태 관리부
211 : 상태 특정부
212 : 상태 천이 판정부
213 : 천이 패턴 판정부
220 : 화이트리스트 관리부
230 : 침입 검지부
240 : 주기 통신 판정부
241 : 허가 여부 특정부
242 : 검출 간격 산출부
243 : 경보 판정부
291 : 기억부
292 : 패킷 검출부
293 : 경보 출력부
310 : 운용 상태 데이터
320 : 상태 천이 시나리오
330 : 상태 천이도
340 : 화이트리스트
350 : 주기 통신 데이터
360 : 경보 조건 테이블
361 : 경보 조건 레코드
370 : 경보 조건 테이블
371 : 경보 조건 레코드
901 : 프로세서
902 : 메모리
903 : 보조 기억 장치
904 : 통신 장치
990 : 처리 회로

Claims (14)

  1. 운용 시스템의 상태를 특정하는 상태 특정부와,
    특정된 상태에 근거하여 상기 운용 시스템의 상태 천이의 유무를 판정하는 상태 천이 판정부와,
    상기 운용 시스템의 상태 천이가 있었을 경우에, 상태 천이의 천이 패턴을 나타내는 상태 천이 시나리오를 이용하여, 상기 운용 시스템의 상태 천이가 상기 상태 천이 시나리오에 나타내어지는 천이 패턴에 합치하는지 판정하는 천이 패턴 판정부
    를 구비하는 침입 검지 장치.
  2. 제 1 항에 있어서,
    상기 운용 시스템의 상태 천이가 상기 천이 패턴에 합치하지 않는 경우에 경보를 출력하는 경보 출력부를 구비하는 침입 검지 장치.
  3. 제 1 항 또는 제 2 항에 있어서,
    상기 운용 시스템의 상태 천이가 상기 천이 패턴에 합치하는 경우에 화이트리스트형 침입 검지를 행하는 침입 검지부를 구비하는 침입 검지 장치.
  4. 제 3 항에 있어서,
    상기 침입 검지 장치는, 상기 운용 시스템의 상태 천이가 상기 천이 패턴에 합치하는 경우에, 운용 상태에 대응지어진 복수의 화이트리스트로부터, 상기 운용 시스템의 상태에 대응지어진 화이트리스트를 선택하는 화이트리스트 관리부를 구비하고,
    상기 침입 검지부는, 선택된 화이트리스트를 이용하여, 화이트리스트형 침입 검지를 행하는
    침입 검지 장치.
  5. 운용 시스템의 상태를 특정하는 상태 특정 처리와,
    특정된 상태에 근거하여 상기 운용 시스템의 상태 천이의 유무를 판정하는 상태 천이 판정 처리와,
    상기 운용 시스템의 상태 천이가 있었을 경우에, 상태 천이의 천이 패턴을 나타내는 상태 천이 시나리오를 이용하여, 상기 운용 시스템의 상태 천이가 상기 상태 천이 시나리오에 나타내어지는 천이 패턴에 합치하는지 판정하는 천이 패턴 판정 처리
    를 컴퓨터에 실행시키기 위한 침입 검지 프로그램.
  6. 운용 시스템에서 통신되는 주기 패킷을 검출하는 패킷 검출부와,
    상기 주기 패킷이 검출된 검출 간격을 산출하는 검출 간격 산출부와,
    상기 운용 시스템의 상태를 특정하는 상태 특정부와,
    특정된 상태에 근거하여 상기 운용 시스템의 상태 천이의 유무를 판정하는 상태 천이 판정부와,
    운용 상태에 대응지어진 복수의 화이트리스트로부터, 상기 운용 시스템의 상태에 대응지어진 화이트리스트를 선택하는 화이트리스트 관리부와,
    상기 운용 시스템의 상태 천이가 있었을 경우에, 상태 천이 전의 상태에 대응지어진 화이트리스트와 상태 천이 후의 상태에 대응지어진 화이트리스트를 이용하여, 상태 천이 전의 상기 주기 패킷의 허가 여부와 상태 천이 후의 상기 주기 패킷의 허가 여부를 특정하는 허가 여부 특정부와,
    상태 천이 전의 허가 여부와 상태 천이 후의 허가 여부와 통신 간격과 경보의 요부(要否)가 서로 대응지어진 경보 조건 테이블과, 상태 천이 전의 상기 주기 패킷의 허가 여부와, 상태 천이 후의 상기 주기 패킷의 허가 여부와, 상기 주기 패킷의 상기 검출 간격에 근거하여, 경보의 요부를 판정하는 경보 판정부
    를 구비하는 침입 검지 장치.
  7. 제 6 항에 있어서,
    상기 검출 간격 산출부는, 상기 주기 패킷이 처음으로 검출된 경우, 상기 운용 시스템의 상태가 상기 주기 패킷이 검출되었을 때의 상태가 된 시각으로부터 경과한 시간을 상기 검출 간격으로서 산출하는 침입 검지 장치.
  8. 제 6 항 또는 제 7 항에 있어서,
    상기 운용 시스템의 상태 천이가 없었던 경우에, 상기 운용 시스템의 상태에 대응지어진 화이트리스트를 이용하여, 화이트리스트형 침입 검지를 행하는 침입 검지부를 구비하는 침입 검지 장치.
  9. 운용 시스템에서 통신되는 주기 패킷을 검출하는 패킷 검출 처리와,
    상기 주기 패킷이 검출된 검출 간격을 산출하는 검출 간격 산출 처리와,
    상기 운용 시스템의 상태를 특정하는 상태 특정 처리와,
    특정된 상태에 근거하여 상기 운용 시스템의 상태 천이의 유무를 판정하는 상태 천이 판정 처리와,
    운용 상태에 대응지어진 복수의 화이트리스트로부터, 상기 운용 시스템의 상태에 대응지어진 화이트리스트를 선택하는 화이트리스트 관리 처리와,
    상기 운용 시스템의 상태 천이가 있었을 경우에, 상태 천이 전의 상태에 대응지어진 화이트리스트와 상태 천이 후의 상태에 대응지어진 화이트리스트를 이용하여, 상태 천이 전의 상기 주기 패킷의 허가 여부와 상태 천이 후의 상기 주기 패킷의 허가 여부를 특정하는 허가 여부 특정 처리와,
    상태 천이 전의 허가 여부와 상태 천이 후의 허가 여부와 통신 간격과 경보의 요부가 서로 대응지어진 경보 조건 테이블과, 상태 천이 전의 상기 주기 패킷의 허가 여부와, 상태 천이 후의 상기 주기 패킷의 허가 여부와, 상기 주기 패킷의 상기 검출 간격에 근거하여, 경보의 요부를 판정하는 경보 판정 처리
    를 컴퓨터에 실행시키기 위한 침입 검지 프로그램.
  10. 운용 시스템의 상태가 천이할 때에 통신되는 상태 천이 패킷을 검출하는 패킷 검출부와,
    상기 상태 천이 패킷이 검출된 경우에, 운용 상태에 대응지어진 복수의 화이트리스트로부터, 상태 천이 후의 상태에 대응지어진 화이트리스트를 선택하는 화이트리스트 관리부
    를 구비하는 침입 검지 장치.
  11. 제 10 항에 있어서,
    상기 운용 시스템은, 주기 패킷용의 통신 시간과 다른 패킷용의 통신 시간을 포함한 통신 주기를 갖는 네트워크를 구비하고,
    상기 상태 천이 패킷은, 상기 통신 주기마다 구분된 통신 기간 중 상기 운용 시스템의 상태가 천이하는 시각을 포함한 통신 기간에 있어서 다른 패킷용의 통신 시간에 통신되는
    침입 검지 장치.
  12. 제 11 항에 있어서,
    상기 네트워크는, 주기 패킷용의 통신 대역과 다른 패킷용의 통신 대역을 갖는 침입 검지 장치.
  13. 제 10 항 내지 제 12 항 중 어느 한 항에 있어서,
    상기 패킷 검출부는, 상기 운용 시스템에서 통신되는 주기 패킷을 검출하고,
    상기 침입 검지 장치는,
    상기 주기 패킷이 검출된 검출 간격을 산출하는 검출 간격 산출부와,
    상기 상태 천이 패킷이 검출된 경우에, 상태 천이 전의 상태에 대응지어진 화이트리스트와 상태 천이 후의 상태에 대응지어진 화이트리스트를 이용하여, 상태 천이 전의 상기 주기 패킷의 허가 여부와 상태 천이 후의 상기 주기 패킷의 허가 여부를 특정하는 허가 여부 특정부와,
    상태 천이 전의 허가 여부와 상태 천이 후의 허가 여부와 통신 간격과 경보의 요부가 서로 대응지어진 경보 조건 테이블과, 상태 천이 전의 상기 주기 패킷의 허가 여부와, 상태 천이 후의 상기 주기 패킷의 허가 여부와, 상기 주기 패킷의 상기 검출 간격에 근거하여, 경보의 요부를 판정하는 경보 판정부
    를 구비하는
    침입 검지 장치.
  14. 운용 시스템의 상태가 천이할 때에 통신되는 상태 천이 패킷을 검출하는 패킷 검출 처리와,
    상기 상태 천이 패킷이 검출된 경우에, 운용 상태에 대응지어진 복수의 화이트리스트로부터, 상태 천이 후의 상태에 대응지어진 화이트리스트를 선택하는 화이트리스트 관리 처리
    를 컴퓨터에 실행시키기 위한 침입 검지 프로그램.
KR1020187036646A 2016-06-23 2016-06-23 침입 검지 장치 및 기억 매체에 저장된 침입 검지 프로그램 KR101972295B1 (ko)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2016/068666 WO2017221373A1 (ja) 2016-06-23 2016-06-23 侵入検知装置および侵入検知プログラム

Publications (2)

Publication Number Publication Date
KR20190002712A true KR20190002712A (ko) 2019-01-08
KR101972295B1 KR101972295B1 (ko) 2019-04-24

Family

ID=60784447

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020187036646A KR101972295B1 (ko) 2016-06-23 2016-06-23 침입 검지 장치 및 기억 매체에 저장된 침입 검지 프로그램

Country Status (7)

Country Link
US (1) US20190141059A1 (ko)
EP (1) EP3460701A4 (ko)
JP (1) JP6400255B2 (ko)
KR (1) KR101972295B1 (ko)
CN (1) CN109313686A (ko)
TW (1) TWI636374B (ko)
WO (1) WO2017221373A1 (ko)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3746921B1 (en) 2018-02-02 2023-12-27 Dover Microsystems, Inc. Systems and methods for policy linking and/or loading for secure initialization
US11797398B2 (en) * 2018-04-30 2023-10-24 Dover Microsystems, Inc. Systems and methods for checking safety properties
WO2020097179A1 (en) 2018-11-06 2020-05-14 Dover Microsystems, Inc. Systems and methods for stalling host processor
US11841956B2 (en) 2018-12-18 2023-12-12 Dover Microsystems, Inc. Systems and methods for data lifecycle protection
US20220367964A1 (en) * 2019-08-08 2022-11-17 Gs Yuasa International Ltd. Energy storage apparatus
JP7471532B2 (ja) 2021-10-08 2024-04-19 三菱電機株式会社 制御装置
JP7325695B1 (ja) * 2023-01-23 2023-08-14 三菱電機株式会社 データ処理装置、データ処理方法及びデータ処理プログラム

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008129714A (ja) * 2006-11-17 2008-06-05 Univ Of Tsukuba 異常検知方法、異常検知装置及び異常検知用プログラム並びに学習モデル生成方法
JP2010015513A (ja) * 2008-07-07 2010-01-21 Nippon Telegr & Teleph Corp <Ntt> マルウェア検知システム、マルウェア検知方法及びマルウェア検知プログラム
WO2011096127A1 (ja) 2010-02-04 2011-08-11 日本電信電話株式会社 パケット転送処理装置、方法及びプログラム

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002101516A2 (en) * 2001-06-13 2002-12-19 Intruvert Networks, Inc. Method and apparatus for distributed network security
JP3697249B2 (ja) * 2003-04-30 2005-09-21 株式会社エヌ・ティ・ティ・データ ネットワーク状態監視システム及びプログラム
US20060253908A1 (en) * 2005-05-03 2006-11-09 Tzu-Jian Yang Stateful stack inspection anti-virus and anti-intrusion firewall system
US20060294588A1 (en) * 2005-06-24 2006-12-28 International Business Machines Corporation System, method and program for identifying and preventing malicious intrusions
JP2008090436A (ja) * 2006-09-29 2008-04-17 Toshiba Corp 情報処理装置およびシステム状態制御方法。
US8881276B2 (en) * 2007-01-09 2014-11-04 Cisco Technology, Inc. Dynamically generated whitelist for high throughput intrusion prevention system (IPS) functionality
TWI331868B (en) * 2007-06-11 2010-10-11 Univ Nat Pingtung Sci & Tech Detecting method of network invasion
US9178898B2 (en) * 2007-09-12 2015-11-03 Avaya Inc. Distributed stateful intrusion detection for voice over IP
US8683033B2 (en) * 2007-09-17 2014-03-25 International Business Machines Corporation Apparatus, system, and method for server failover to standby server during broadcast storm or denial-of-service attack
TWI346492B (en) * 2007-11-28 2011-08-01 Inventec Corp System for intrusion protection system
US8793786B2 (en) * 2008-02-08 2014-07-29 Microsoft Corporation User indicator signifying a secure mode
JP5692244B2 (ja) * 2011-01-31 2015-04-01 富士通株式会社 通信方法、ノード、およびネットワークシステム
US9262624B2 (en) * 2011-09-16 2016-02-16 Mcafee, Inc. Device-tailored whitelists
JP5890673B2 (ja) * 2011-12-07 2016-03-22 京セラ株式会社 無線通信システムおよび基地局
US8793806B1 (en) * 2012-07-13 2014-07-29 Google Inc. Systems and methods to selectively limit access only to a subset of content, identified in a whitelist, of a library of content
US9063721B2 (en) * 2012-09-14 2015-06-23 The Research Foundation For The State University Of New York Continuous run-time validation of program execution: a practical approach
US9405900B2 (en) * 2013-03-13 2016-08-02 General Electric Company Intelligent cyberphysical intrusion detection and prevention systems and methods for industrial control systems
US9313223B2 (en) * 2013-03-15 2016-04-12 Prevoty, Inc. Systems and methods for tokenizing user-generated content to enable the prevention of attacks
CN103150518B (zh) * 2013-03-22 2016-02-17 腾讯科技(深圳)有限公司 一种文件实时防护的方法和装置
US9124626B2 (en) * 2013-05-20 2015-09-01 International Business Machines Corporation Firewall based botnet detection
JP6248434B2 (ja) * 2013-07-03 2017-12-20 富士通株式会社 無線通信システム、無線基地局、及び、無線端末
US8938612B1 (en) * 2013-07-31 2015-01-20 Google Inc. Limited-access state for inadvertent inputs
CN105683987B (zh) * 2013-10-24 2018-11-16 三菱电机株式会社 信息处理装置和信息处理方法
CN103716203B (zh) * 2013-12-21 2017-02-08 华中科技大学 基于本体模型的网络化控制系统入侵检测方法及系统
US9565204B2 (en) * 2014-07-18 2017-02-07 Empow Cyber Security Ltd. Cyber-security system and methods thereof
JP6351426B2 (ja) * 2014-08-01 2018-07-04 株式会社野村総合研究所 作業支援システムおよび作業支援方法
US9660994B2 (en) * 2014-09-30 2017-05-23 Schneider Electric USA, Inc. SCADA intrusion detection systems
CN104899513B (zh) * 2015-06-01 2018-06-19 上海云物信息技术有限公司 一种工业控制系统恶意数据攻击的数据图检测方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008129714A (ja) * 2006-11-17 2008-06-05 Univ Of Tsukuba 異常検知方法、異常検知装置及び異常検知用プログラム並びに学習モデル生成方法
JP2010015513A (ja) * 2008-07-07 2010-01-21 Nippon Telegr & Teleph Corp <Ntt> マルウェア検知システム、マルウェア検知方法及びマルウェア検知プログラム
WO2011096127A1 (ja) 2010-02-04 2011-08-11 日本電信電話株式会社 パケット転送処理装置、方法及びプログラム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
비특허문헌 1 : 야마구치 데루요시 외, "산업 제어 시스템에 있어서의 침입 검지 수법의 조사와 검토", SCIS 2015, 2A4-3, 2015년

Also Published As

Publication number Publication date
CN109313686A (zh) 2019-02-05
JP6400255B2 (ja) 2018-10-03
EP3460701A1 (en) 2019-03-27
EP3460701A4 (en) 2019-05-22
JPWO2017221373A1 (ja) 2018-11-08
US20190141059A1 (en) 2019-05-09
KR101972295B1 (ko) 2019-04-24
TW201800972A (zh) 2018-01-01
TWI636374B (zh) 2018-09-21
WO2017221373A1 (ja) 2017-12-28

Similar Documents

Publication Publication Date Title
KR101972295B1 (ko) 침입 검지 장치 및 기억 매체에 저장된 침입 검지 프로그램
Studnia et al. A language-based intrusion detection approach for automotive embedded networks
JP6239215B2 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
CN109889547B (zh) 一种异常网络设备的检测方法及装置
US10291630B2 (en) Monitoring apparatus and method
US11405285B2 (en) Cyber-physical system evaluation
CN106537872B (zh) 用于检测计算机网络中的攻击的方法
JP6509462B2 (ja) 攻撃検知装置、攻撃検知方法および攻撃検知プログラム
CN108092970B (zh) 一种无线网络维护方法及其设备、存储介质、终端
US20040111638A1 (en) Rule-based network survivability framework
KR20130085570A (ko) 단말 중심 사이버 공격 방지 방법 및 그에 따른 단말 장치
CN112261052B (zh) 基于流规则分析的sdn数据平面异常行为检测方法及系统
EP3432184B1 (en) Intrusion detection device, intrusion detection method, and intrusion detection program
CN115668190A (zh) 用于抑制对计算系统的攻击的分析处理电路
JP4170301B2 (ja) DoS攻撃検出方法、DoS攻撃検出システム、およびDoS攻撃検出プログラム
US20170213043A1 (en) Security hardened controller area network transceiver
US10666671B2 (en) Data security inspection mechanism for serial networks
JP2018142197A (ja) 情報処理装置、方法およびプログラム
JPWO2017150003A1 (ja) 検知システム、ウェブアプリケーション装置、ウェブアプリケーションファイアウォール装置、検知システムにおける検知方法、ウェブアプリケーション装置の検知方法及びウェブアプリケーションファイアウォール装置の検知方法
JP2019047177A (ja) 監視装置、監視システムおよびコンピュータプログラム
CN115698992A (zh) 用于安全分析框架的仲裁器系统
KR101781971B1 (ko) 데이터 보안을 위한 토글키 차단 방법 및 이를 이용한 장치
US20180225188A1 (en) Probabilistic Processor Monitoring
JP7483174B2 (ja) 攻撃検知装置、攻撃検知方法、及び攻撃検知プログラム
CN117640281A (zh) 装置和方法

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant