TW201800972A - 侵入偵知裝置以及侵入偵知程式產品 - Google Patents

侵入偵知裝置以及侵入偵知程式產品 Download PDF

Info

Publication number
TW201800972A
TW201800972A TW105126045A TW105126045A TW201800972A TW 201800972 A TW201800972 A TW 201800972A TW 105126045 A TW105126045 A TW 105126045A TW 105126045 A TW105126045 A TW 105126045A TW 201800972 A TW201800972 A TW 201800972A
Authority
TW
Taiwan
Prior art keywords
state
state transition
packet
aforementioned
transition
Prior art date
Application number
TW105126045A
Other languages
English (en)
Other versions
TWI636374B (zh
Inventor
清水孝一
山口晃由
中井綱人
小林信博
Original Assignee
三菱電機股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 三菱電機股份有限公司 filed Critical 三菱電機股份有限公司
Publication of TW201800972A publication Critical patent/TW201800972A/zh
Application granted granted Critical
Publication of TWI636374B publication Critical patent/TWI636374B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/067Generation of reports using time frame reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

狀態管理部(210)係特定運用系統的狀態,且根據經特定的狀態,判定有無運用系統的狀態遷移。若有運用系統的狀態遷移,狀態管理部係使用表示狀態遷移的遷移型樣的狀態遷移情境,判定運用系統的狀態遷移是否與狀態遷移情境所示之遷移型樣相一致。若運用系統的狀態遷移與遷移型樣不一致,警報輸出部(293)係輸出警報。若運用系統的狀態遷移與遷移型樣相一致,白名單管理部(220)係切換白名單,侵入偵知部(230)係進行白名單型侵入偵知。

Description

侵入偵知裝置以及侵入偵知程式產品
本發明係關於白名單(whitelist)型侵入偵知者。
近年來,對產業控制系統的網路攻擊不斷增加,尋求對策。以防止來自網路的網路攻擊的技術而言,已知一種白名單型侵入偵知技術。該技術係將許可的封包預先定義為被稱為白名單的清單,將未被定義為白名單的封包作為攻擊來進行偵知的技術。
產業控制系統與一般資訊系統相比較,運用形態固定,被傳送接收的封包為固定。因此,在產業控制系統中,考慮可能將許可的封包預先定義為白名單,以網路攻擊對策而言,對白名單型侵入偵知技術的期待提高。
白名單型侵入偵知中之進入偵知的精度係取決於白名單的定義,但是一般而言,白名單的定義並不容易。
因此,圖求一種有關白名單定義的技術。尤其,在產業控制系統中,圖求一種用以正確進行對具特徵的周期封包的偵知的技術。
在專利文獻1中係揭示一種若從與搜尋規則相一致的周期封包前次接收時起超過逾時時間時,使該搜尋規則無效化的技術。如上所示,藉由判定周期封包逾時,可判定周期 封包的接收期間已結束。
在非專利文獻1中,已提出一種藉由系統的運用狀態來切換白名單,藉此偵知複雜攻擊的技術。
例如,用以將程式寫入至控制器的通訊係被認為僅在系統維護時進行,在系統運轉中並不進行。因此,以程式寫入的通訊在維護的狀態下被許可,在運轉中的狀態下則未被許可的方式切換白名單,藉此將應許可的封包細部控制,有可偵知複雜攻擊的可能性。
利用該技術,藉由系統的運用狀態來變更所許可的周期封包,藉此可判定周期封包的接收的開始及結束。
在如產業控制系統般運用固定的系統中,必須判定是否許可所接收到的封包,並且確認已確實接收應接收的封包。
但是,在專利文獻1所記載之技術中,雖可判定正在持續接收封包,但是並無法詳細判定封包的接收何時開始、何時結束等。此外,在封包接收開始時或結束時的前後時段無法進行嚴謹的判定。
在如產業控制系統般運用為固定的系統中,狀態遷移型樣亦為固定,被認為不會發生任意的狀態遷移。
但是,在非專利文獻1所記載的技術中,由於被許可在狀態遷移圖中被設定的任意狀態遷移,因此並未被判定由複數次狀態遷移所成之狀態遷移型樣是否與在系統運用中應發生的狀態遷移型樣相一致。
[先前技術文獻]
[專利文獻]
專利文獻1:國際公開WO2011/096127號
[非專利文獻]
非專利文獻1:山口晃由等,「產業控制系統中之侵入偵知手法的調查與檢討」,SCIS 2015,2A4-3,2015年
本發明之目的在可偵知不正當之狀態遷移。
本發明之侵入偵知裝置係包括:特定運用系統的狀態的狀態特定部;根據被特定的狀態,判定有無前述運用系統的狀態遷移的狀態遷移判定部;及若有前述運用系統的狀態遷移,使用表示狀態遷移之遷移型樣的狀態遷移情境,判定前述運用系統的狀態遷移是否與前述狀態遷移情境所示之遷移型樣相一致的遷移型樣判定部。
藉由本發明,可偵知不正當之狀態遷移。
100‧‧‧運用系統
101‧‧‧資訊系統網路
102‧‧‧監視控制終端機
103‧‧‧控制器
104‧‧‧維護網路
105‧‧‧控制網路
111‧‧‧封包A
112‧‧‧封包B
113‧‧‧封包C
114‧‧‧狀態遷移封包
200‧‧‧侵入偵知裝置
210‧‧‧狀態管理部
211‧‧‧狀態特定部
212‧‧‧狀態遷移判定部
213‧‧‧遷移型樣判定部
220‧‧‧白名單管理部
230‧‧‧侵入偵知部
240‧‧‧周期通訊判定部
241‧‧‧許可與否特定部
242‧‧‧檢測間隔算出部
243‧‧‧警報判定部
291‧‧‧記憶部
292‧‧‧封包檢測部
293‧‧‧警報輸出部
310‧‧‧運用狀態資料
320‧‧‧狀態遷移情境
330‧‧‧狀態遷移圖
340‧‧‧白名單
350‧‧‧周期通訊資料
360‧‧‧警報條件表格
361‧‧‧警報條件記錄
370‧‧‧警報條件表格
371‧‧‧警報條件記錄
901‧‧‧處理器
902‧‧‧記憶體
903‧‧‧輔助記憶裝置
904‧‧‧通訊裝置
990‧‧‧處理電路
第1圖係實施形態1中之運用系統100的構成圖。
第2圖係實施形態1中之侵入偵知裝置200的構成圖。
第3圖係實施形態1中之狀態管理部210的構成圖。
第4圖係實施形態1中之記憶部291的構成圖。
第5圖係實施形態1中之狀態遷移情境320的構成圖。
第6圖係實施形態1中之狀態遷移圖330。
第7圖係實施形態1中之侵入偵知方法的流程圖。
第8圖係顯示實施形態1中之運用系統100的其他構成的圖。
第9圖係實施形態2中之侵入偵知裝置200的構成圖。
第10圖係實施形態2中之狀態管理部210的構成圖。
第11圖係實施形態2中之周期通訊判定部240的構成圖。
第12圖係實施形態2中之記憶部291的構成圖。
第13圖係顯示實施形態2中之白名單340。
第14圖係實施形態2中之警報條件表格360的構成圖。
第15圖係實施形態2中之侵入偵知方法的流程圖。
第16圖係實施形態2中之周期通訊判定處理(S240)的流程圖。
第17圖係顯示實施形態2中之周期通訊之例的圖。
第18圖係實施形態3中之運用系統100的構成圖。
第19圖係實施形態3中之控制網路105的構成圖。
第20圖係實施形態3中之控制網路105的通訊周期的構成圖。
第21圖係顯示實施形態3中之周期通訊之例的圖。
第22圖係實施形態3中之狀態管理部210的構成圖。
第23圖係實施形態3中之記憶部291的構成圖。
第24圖係實施形態3中之警報條件表格370的構成圖。
第25圖係實施形態3中之侵入偵知方法的流程圖。
第26圖係實施形態中之侵入偵知裝置200的硬體構成圖。
在實施形態及圖示中,對相同要素或彼此相當的要素標註相同符號。被標註相同符號的要素的說明係適當省略或簡化。
實施形態1.
根據第1圖至第8圖,說明檢測不正當之狀態遷移之形態。
***構成的說明***
根據第1圖,說明運用系統100的構成。
運用系統100係成為侵入偵知對象的系統。具體而言,運用系統100為產業控制系統。產業控制系統為運用固定的系統。
運用系統100係包括:監視控制終端機102、複數控制器(103A、103B)、侵入偵知裝置200、及維護網路104。將複數控制器統稱為控制器103。
監視控制終端機102、控制器103、及侵入偵知裝置200係連接於維護網路104。維護網路104係監視控制終端機102、控制器103、及侵入偵知裝置200所連接的網路。
監視控制終端機102係另外被連接在資訊系統網路101。資訊系統網路101係監視控制終端機102及伺服器等所連接的網路。
監視控制終端機102係控制運用系統100的電腦。
控制器103係控制機器的電腦。
侵入偵知裝置200係偵知對運用系統100之不正當存取的電腦。侵入偵知裝置200係被後接在維護網路104。
監視控制終端機102係由控制器103收集資訊, 且將被收集到的資訊,透過資訊系統網路101而傳送至伺服器。
根據第2圖,說明侵入偵知裝置200的構成。
侵入偵知裝置200係包括:處理器901、記憶體902、輔助記憶裝置903、及通訊裝置904等硬體的電腦。該等硬體係透過訊號線而彼此相連接。
處理器901係進行處理的IC(Integrated Circuit,積體電路),控制其他硬體。具體而言,處理器901為CPU、DSP或GPU。CPU為Central Processing Unit(中央處理單元)的簡稱,DSP為Digital Signal Processor(數位訊號處理器)的簡稱,GPU為Graphics Processing Unit(圖形處理單元)的簡稱。
記憶體902為揮發性的記憶裝置。記憶體902亦被稱為主記憶裝置或主記憶體。具體而言,記憶體902係RAM(Random Access Memory,隨機存取記憶體)。
輔助記憶裝置903為非揮發性的記憶裝置。具體而言,輔助記憶裝置903為ROM、HDD或快閃記憶體。ROM為Read Only Memory(唯讀記憶體)的簡稱,HDD為Hard Disk Drive(硬碟驅動機)的簡稱。
將彙總處理器901、記憶體902、及輔助記憶裝置903的硬體稱為「處理電路」。
通訊裝置904係進行通訊的裝置,包括:接收機、及發送機。具體而言,通訊裝置904為通訊晶片或NIC(Network Interface Card,網路介面卡)。
侵入偵知裝置200係包括:狀態管理部210、白名單管理部220、及侵入偵知部230等「部」作為功能構成的要 素。「部」的功能係以軟體予以實現。關於「部」的功能,容後詳述。
在輔助記憶裝置903係記憶有實現「部」的功能的程式。實現「部」的功能的程式係被載入至記憶體902,且藉由處理器901予以執行。
此外,在輔助記憶裝置903記憶有OS(Operating System,作業系統)。OS的至少一部分係被載入記憶體902,且藉由處理器901予以執行。
亦即,處理器901係一邊執行OS,一邊執行實現「部」的功能的程式。
執行實現「部」的功能的程式而得的資料係被記憶在記憶體902、輔助記憶裝置903、處理器901內的暫存器或處理器901內的快取記憶體等記憶裝置。
記憶體902係作為記憶在侵入偵知裝置200中被使用、生成、輸入、輸出、傳送或接收的資料的記憶部291來發揮功能。但是,其他記憶裝置亦可作為記憶部291來發揮功能。
通訊裝置904係作為將資料進行通訊的通訊部來發揮功能。在通訊裝置904中,接收機係作為接收資料的收訊部及後述之封包檢測部292來發揮功能,發送機係作為傳送資料的送訊部及後述之警報輸出部293來發揮功能。
侵入偵知裝置200亦可包括替代處理器901的複數處理器。複數處理器係分擔實現「部」的功能的程式的執行。
實現「部」的功能的程式係以電腦可讀取地記憶在磁碟、 光碟或快閃記憶體等非揮發性記憶媒體。非揮發性記憶媒體係非為暫時性的有形媒體。
「部」亦可改讀為「處理」或「工序」。「部」的功能亦可由韌體來實現。
電腦程式產品(亦僅稱之為程式產品)係載入電腦可讀取程式者,而非侷限於外觀形式之物。
根據第3圖,說明狀態管理部210的構成。
狀態管理部210係包括:狀態特定部211、狀態遷移判定部212、及遷移型樣判定部213作為功能構成的要素。關於該等要素的功能,容後敘述。
根據第4圖,說明記憶部291的構成。
記憶部291係記憶:運用狀態資料310、狀態遷移情境320、狀態遷移圖330、及複數白名單340等。
白名單340為以下記載之白名單1、白名單2或白名單3等的統稱。
運用狀態資料310係表示運用系統100的狀態。將運用系統100的狀態稱為運用狀態。
具體而言,運用狀態資料310係包含:狀態編號、順序編號、及型樣編號。
狀態編號係識別運用系統100的狀態的編號。
順序編號係形成為在運用系統100的狀態遷移中以狀態編號識別運用系統100的狀態的順序。
型樣編號係識別與運用系統100的狀態遷移相一致的遷移型樣的編號。
狀態遷移情境320係表示預先決定的狀態遷移的型樣。將狀態遷移的型樣稱為遷移型樣。
根據第5圖,說明狀態遷移情境320的構成。
行號為型樣編號,列號為順序編號。
遷移型樣1係運用狀態以狀態1、狀態2、狀態1的順序遷移的遷移型樣。
遷移型樣2係運用狀態以狀態1、狀態3、狀態1、狀態2的順序遷移的遷移型樣。
遷移型樣3係運用狀態以狀態1、狀態2、狀態3的順序遷移的遷移型樣。
若被使用第5圖的狀態遷移情境320,第4圖的運用狀態資料310的初期值係如以下所示。
狀態編號的初期值為1。
順序編號的初期值為1。
型樣編號的初期值為1、2及3。
返回至第4圖,說明狀態遷移圖330及白名單340。
狀態遷移圖330係表示預先決定的狀態遷移的資料,而且,運用狀態與白名單340互相產生對應的資料。
白名單340係表示被許可在運用系統100中予以通訊的封包的資料。
將在運用系統100中予以通訊的封包稱為通訊封包。
將被許可在運用系統100中予以通訊的封包稱為許可封包。
將未被許可在運用系統100中予以通訊的封包稱為不許可 封包。
根據第6圖,說明狀態遷移圖330的構成。
狀態遷移圖330係顯示由狀態1至狀態2或狀態3的遷移、由狀態2至狀態1或狀態3的遷移、及由狀態3至狀態1的遷移。
在狀態遷移圖330中,白名單1與狀態1產生對應,白名單2與狀態2產生對應,白名單3與狀態3產生對應。
***動作的說明***
侵入偵知裝置200的動作係相當於侵入偵知方法。此外,侵入偵知方法的順序係相當於侵入偵知程式的順序。
根據第7圖,說明侵入偵知方法。
步驟S101至步驟S130的處理係在侵入偵知裝置200的侵入偵知功能正在動作的期間被反覆執行。
步驟S101係封包檢測處理。
在步驟S101中,封包檢測部292係檢測通訊封包。
具體而言,封包檢測部292係接收流至維護網路104的通訊封包。
步驟S111係狀態特定處理。
在步驟S111中,狀態特定部211係特定運用系統100的狀態。
具體而言,狀態特定部211係對在步驟S101中被檢測到的通訊封包的內容進行解析。接著,狀態特定部211係根據解析結果,特定識別運用系統100的狀態的狀態編號。
步驟S112係狀態遷移判定處理。
在步驟S112中,狀態遷移判定部212係根據在步驟S111中被特定的狀態,判定有無運用系統100的狀態遷移。
具體而言,狀態遷移判定部212係將在步驟S111中被特定的狀態編號與運用狀態資料310所示之狀態編號作比較。接著,若狀態編號不同,狀態遷移判定部212係判定有運用系統100的狀態遷移。
若有運用系統100的狀態遷移,狀態遷移判定部212係將運用狀態資料310所包含的狀態編號更新為在步驟S111中被特定的狀態編號。此外,狀態遷移判定部212係在運用狀態資料310所包含的順序編號加算1。之後,處理係進至步驟S113。
若無運用系統100的狀態遷移,處理係進至步驟S130。
步驟S113係遷移型樣判定處理。
在步驟S113中,遷移型樣判定部213係判定運用系統100的狀態遷移是否與狀態遷移情境320所示之遷移型樣相一致。
具體而言,遷移型樣判定部213係如以下進行判定。
遷移型樣判定部213係按每個運用狀態資料310所包含的型樣編號,執行以下(1)至(4)。
(1)遷移型樣判定部213係由狀態遷移情境320中選擇以型樣編號被識別的遷移型樣。
(2)遷移型樣判定部213係由被選擇出的遷移型樣,取得與運用狀態資料310所示之順序編號相對應的狀態編號。
(3)遷移型樣判定部213係將所被取得的狀態編號與運 用狀態資料310所示之狀態編號作比較。
(4)若狀態編號不相一致,遷移型樣判定部213係由運用狀態資料310中刪除型樣編號。
若在運用狀態資料310殘留至少任一型樣編號時,遷移型樣判定部213係判定運用系統100的狀態遷移與狀態遷移情境320所示之遷移型樣相一致。
若運用系統100的狀態遷移與狀態遷移情境320所示之遷移型樣相一致,運用系統100的狀態遷移為正確。
若運用系統100的狀態遷移為正確,處理係進至步驟S120。
若運用系統100的狀態遷移為不正確,處理係進至步驟S114。
根據第5圖的狀態遷移情境320,具體說明步驟S113。
首先,假設最初的運用狀態為狀態1。在狀態遷移情境320中,順序編號1的運用狀態為狀態1的遷移型樣為遷移型樣1、遷移型樣2、及遷移型樣3。因此,在運用狀態資料310係被登錄型樣編號1、型樣編號2、及型樣編號3。
接著,假設運用狀態為遷移至狀態2者。在遷移型樣1~3之中,順序編號2的運用狀態為狀態2的遷移型樣為遷移型樣1及遷移型樣3。遷移型樣2並不符合。因此,型樣編號2由運用狀態資料310中被刪除。
如上所示,與運用系統100的狀態遷移不相一致的遷移型樣的型樣編號由運用狀態資料310中被刪除,與運用系統100 的狀態遷移相一致的遷移型樣被限定。
在某順序中,若與運用系統100的狀態遷移相一致的遷移型樣已消失,運用系統100的狀態遷移為不正當。
返回至第7圖,由步驟S114繼續說明。
步驟S114係警報輸出處理。
在步驟S114中,警報輸出部293係輸出警報。該警報係通知已發生不正當之狀態遷移的訊息。
具體而言,遷移型樣判定部213生成包含警報的通報封包,且警報輸出部293將通報封包傳送至監視控制終端機102。
在步驟S114之後,處理係進至步驟S101。
步驟S120係白名單管理處理。
在步驟S120中,白名單管理部220係將在侵入偵知處理(S130)中所使用的白名單340,切換成與運用系統100的狀態相對應的白名單340。
具體而言,白名單管理部220係使用狀態遷移圖330,由複數白名單340中選擇與運用系統100的狀態產生對應的白名單340。被選擇出的白名單340係在之後的侵入偵知處理(S130)中被使用。
在第6圖的狀態遷移圖330中,若運用系統100的狀態為狀態2,被選擇的白名單340為白名單2。
步驟S130係侵入偵知處理。
在步驟S130中,侵入偵知部230係進行白名單型侵入偵知。
具體而言,侵入偵知部230係如以下所示進行白 名單型侵入偵知。
首先,侵入偵知部230係由在步驟S101中被檢測到的通訊封包中取得送訊源位址及收訊端位址等資訊。
接著,侵入偵知部230係根據所取得的資訊,判定在步驟S101中被檢測到的通訊封包是否為白名單340所示之許可封包。
若通訊封包非為許可封包,侵入偵知部230係生成包含警報的通報封包。該警報係通知被檢測到不許可封包的訊息。接著,警報輸出部293係將通報封包傳送至監視控制終端機102。
在步驟S130之後,處理係進至步驟S101。
***實施形態1的效果***
可檢測不正當之狀態遷移。
具體而言,在如產業控制系統般取得固定的運用形態的運用系統100中,藉由使用登錄有在運用系統100中被許可的遷移型樣的狀態遷移情境320,可得可更正確地判定應許可的通訊型樣的效果。
在第6圖的狀態遷移圖330中,狀態1與狀態2被交替反覆的狀態遷移為正確的狀態遷移。
另一方面,在第5圖的狀態遷移情境320中,狀態1與狀態2被交替反覆的狀態遷移亦未被定義在任何遷移型樣,因此為不正當之狀態遷移。
亦即,藉由使用狀態遷移情境320來偵知不正當之狀態遷移,可偵知使用狀態遷移圖330無法偵知之不正當之狀態遷移。
***其他構成***
侵入偵知裝置200亦可被內置於與維護網路104相連接的機器。
如第8圖所示,侵入偵知裝置200亦可被內置於控制器103。
侵入偵知裝置200亦可包括顯示受理輸入的輸入裝置及畫像等的顯示器。具體的輸入裝置為鍵盤及滑鼠。
狀態遷移情境320所示之遷移型樣可為1個,亦可為複數,可被追加、變更或刪除。
狀態特定部211亦可以對通訊封包的內容進行解析以外的方法,來特定運用系統100的狀態。
具體而言,狀態特定部211亦可對監視控制終端機102詢問運用系統100的狀態。
狀態遷移圖330若為運用狀態與白名單互相產生對應的資料,亦可置換成其他形式的資料。
具體而言,亦可使用運用狀態與白名單互相產生對應的表格形式的資料來取代狀態遷移圖330。
警報亦可利用傳送包含警報的通報封包以外的方法來進行輸出。
具體而言,警報係可被顯示在顯示器,亦可以聲音予以輸出。
實施形態2.
關於偵知不正當之周期通訊的形態,主要根據第9圖至第17圖,說明與實施形態1不同之處。
***構成的說明***
運用系統100的構成係與實施形態1相同。
根據第9圖,說明侵入偵知裝置200的構成。
侵入偵知裝置200係包括:狀態管理部210、白名單管理部220、侵入偵知部230、及周期通訊判定部240作為功能構成的要素。
根據第10圖,說明狀態管理部210的構成。
狀態管理部210係包括:狀態特定部211、及狀態遷移判定部212作為功能構成的要素。
根據第11圖,說明周期通訊判定部240的構成。
周期通訊判定部240係包括:許可與否特定部241、檢測間隔算出部242、及警報判定部243作為功能構成的要素。
根據第12圖,說明記憶部291的構成。
記憶部291係記憶:運用狀態資料310、狀態遷移圖330、複數白名單340、周期通訊資料350、及警報條件表格360等。
運用狀態資料310係包含:狀態編號、及遷移時刻。
狀態編號係如實施形態1中之說明。
遷移時刻係運用系統100的狀態遷移至以狀態編號予以識別的狀態的時刻。
狀態遷移圖330係如實施形態1中說明所示。
根據第13圖,說明白名單1及白名單2的具體例。
白名單1係與狀態1產生對應的白名單340。
在白名單1中,封包A及封包B為許可封包,封包C為不許可封包。
白名單2為與狀態2產生對應的白名單340。
在白名單2中,封包B及封包C為許可封包,封包A為不許可封包。
亦即,若運用系統100的狀態由狀態1遷移至狀態2,原為許可封包的封包A即成為不許可封包,原為不許可封包的封包C則成為許可封包。
返回至第12圖,說明周期通訊資料350。
周期通訊資料350係表示周期封包的通訊狀況。
周期封包係被定期予以通訊的通訊封包。周期封包係按每個通訊周期予以通訊。若通訊周期為1分鐘,周期封包係按每1分鐘予以通訊。
具體而言,周期通訊資料350係按每個周期封包種類,包含:通訊周期、及前次時刻。前次時刻為前次檢測出周期封包的時刻。前次時刻的初期值係表示未檢測的值。
根據第14圖,說明警報條件表格360的構成。
警報條件表格360係包含有警報條件記錄(361A~361G)。將警報條件記錄361A至警報條件記錄361G統稱為警報條件記錄361。
在警報條件記錄361係使狀態遷移前的許可與否、狀態遷移後的許可與否、通訊間隔、及警報的需要與否互相產生對應。
在通訊間隔之欄位中,連字號意指無通訊間隔條件。
***動作的說明***
根據第15圖,說明侵入偵知方法。
步驟S201至步驟S250的處理係在侵入偵知裝置200的侵 入偵知功能正在動作的期間被反覆執行。
步驟S201至步驟S212係與實施形態1中之圖7的步驟S101至步驟S112相同。
若有運用系統100的狀態遷移,狀態遷移判定部212係將運用狀態資料310所包含的狀態編號更新為在步驟S211中被特定出的狀態編號。此外,狀態遷移判定部212係更新運用狀態資料310所包含的遷移時刻。具體而言,狀態遷移判定部212係將遷移時刻更新為現在時刻或在步驟S201中被檢測到通訊封包的時刻。之後,處理係進至步驟S220。
若無運用系統100的狀態遷移,處理係進至步驟S250。
步驟S220係與實施形態1中之第7圖的步驟S120相同。
在步驟S220之後,處理係進至步驟S230。
在步驟S230中,周期通訊判定部240係判定在步驟S201中被檢測到的通訊封包是否為周期封包。
具體而言,在周期封包係被設定表示為周期封包的周期旗標。若在步驟S201中被檢測到的通訊封包設定有周期旗標,周期通訊判定部240係判定在步驟S201中被檢測到的通訊封包為周期封包。
若在步驟S201中被檢測到的通訊封包為周期封包,處理係進至步驟S240。
若在步驟S201中被檢測到的通訊封包非為周期封包,處理係進至步驟S250。
步驟S240係周期通訊判定處理。
在步驟S240中,周期通訊判定部240係進行同期通訊判定處理。
關於周期通訊判定處理(S240),容後詳述。
在步驟S240之後,處理係進至步驟S201。
步驟S250係與實施形態1中之第7圖的步驟S130相同。
在步驟S250之後,處理係進至步驟S201。
根據第16圖,說明周期通訊判定處理(S240)。
步驟S241-1及步驟S241-2係許可與否特定處理。
在步驟S241-1中,許可與否特定部241係使用與狀態遷移前的狀態產生對應的白名單340,來特定狀態遷移前的周期封包的許可與否。
狀態遷移前的狀態係指運用系統100的前次狀態。
與狀態遷移前的狀態產生對應的白名單340係指在步驟S220中被切換之前的白名單340。將該白名單340稱為狀態遷移前的白名單340。
狀態遷移前的周期封包的許可與否係指使用狀態遷移前的白名單340被特定的周期封包的許可與否。
具體而言,許可與否特定部241係如以下特定周期封包的許可與否。
首先,許可與否特定部241係由在步驟S201中被檢測到的周期封包,取得送訊源位址及收訊端位址等資訊。
接著,許可與否特定部241係根據被取得的資訊,判定在步驟S201中被檢測到的周期封包是否為白名單340所示之許 可封包。
在第13圖中,狀態遷移前的白名單340為白名單1,若被檢測到的周期封包為封包A,狀態遷移前的周期封包為許可封包。
在第13圖中,狀態遷移前的白名單340為白名單1,若被檢測到的周期封包為封包C,狀態遷移前的周期封包為不許可封包。
返回至第16圖,說明步驟S241-2。
在步驟S241-2中,許可與否特定部241係使用與狀態遷移後的狀態產生對應的白名單340,特定狀態遷移後的周期封包的許可與否。
狀態遷移後的狀態係指運用系統100的現在狀態。
與狀態遷移後的狀態產生對應的白名單340係指在步驟S220中被切換後的白名單340。將該白名單340稱為狀態遷移後的白名單340。
狀態遷移後的周期封包的許可與否係指使用狀態遷移後的白名單340被特定的周期封包的許可與否。
特定周期封包的許可與否的方法係與步驟S241-1相同。
在第13圖中,狀態遷移後的白名單340為白名單2,若被檢測到的周期封包為封包A,狀態遷移後的周期封包為不許可封包。
在第13圖中,狀態遷移後的白名單340為白名單2,若被檢測到的周期封包為封包C,狀態遷移後的周期封包為許可封包。
返回至第16圖,由步驟S242繼續說明。
步驟S242係檢測間隔算出處理。
在步驟S242中,檢測間隔算出部242係算出被檢測到周期封包的檢測間隔。
檢測間隔係與本次被檢測到的周期封包為相同種類的周期封包從前次被檢測到的時刻起,至周期封包本次被檢測到的時刻為止的時間。
但是,若周期封包初次被檢測到,檢測間隔算出部242係算出由運用系統100的狀態成為被檢測到周期封包時的狀態的時刻起所經過的時間作為檢測間隔。
具體而言,周期通訊判定部240係如以下算出檢測間隔。
首先,周期通訊判定部240係由周期封包取得送訊源位址及收訊端位址等資訊,且根據所被取得的資訊,來特定周期封包的種類。
接著,周期通訊判定部240係由周期通訊資料350取得經特定之種類的前次時刻。
若所被取得的前次時刻非為表示未檢測的值,周期通訊判定部240係算出由所被取得的前次時刻至本次時刻的時間。被算出的時間為檢測間隔。具體而言,本次時刻係現在時刻或在步驟S201中被檢測到周期封包的時刻。
若所取得的前次時刻為表示未檢測的值,周期通訊判定部240係由運用狀態資料310取得遷移時刻,且算出由所被取得的遷移時刻至本次時刻為止的時間。被算出的時間即為檢測間 隔。
步驟S243係警報判定處理。
在步驟S243中,警報判定部243係根據:警報條件表格360、狀態遷移前的周期封包的許可與否、狀態遷移後的周期封包的許可與否、及周期封包的檢測間隔,來判定警報的需要與否。
具體而言,警報判定部243係如以下所示判定警報的需要與否。
首先,警報判定部243係由警報條件表格360中選擇與在步驟S241-1中被特定的許可與否、在步驟S241-2中被特定的許可與否、在步驟S242中被算出的檢測間隔相對應的警報條件記錄361。
接著,警報判定部243係參照被選擇出的警報條件記錄361所包含的警報的需要與否。
若在步驟S241-1中被特定的許可與否為許可,在步驟S241-2中被特定的許可與否為許可時,由第14圖的警報條件表格360中選擇警報條件記錄361A。此時,不需要警報。
若在步驟S241-1中被特定的許可與否為許可,在步驟S241-2中被特定的許可與否為不許可,且在步驟S242中被算出的檢測間隔比通訊周期為更短時,由第14圖的警報條件表格360中選擇警報條件記錄361B。此時,需要警報。
若在步驟S241-1中被特定的許可與否為許可,在步驟S241-2中被特定的許可與否為不許可,且在步驟S242中被算出的檢測間隔為通訊周期以上時,由第14圖的警報條件表格 360中選擇警報條件記錄361C或警報條件記錄361D。此時,不需要警報。
與檢測間隔相比較的通訊周期係在周期通訊資料350所包含的通訊周期之中,與周期封包的種類相對應的通訊周期。
若在步驟S241-1中被特定的許可與否為不許可,在步驟S241-2中被特定的許可與否為許可,且在步驟S242中被算出的檢測間隔為待機時間以下,由第14圖的警報條件表格360中被選擇警報條件記錄361E。此時,不需要警報。
若在步驟S241-1中被特定的許可與否為不許可,在步驟S241-2中被特定的許可與否為許可,且在步驟S242中被算出的檢測間隔比待機時間為更長時,由第14圖的警報條件表格360中被選擇警報條件記錄361F。此時,需要警報。
待機時間為預先決定的時間。待機時間係比通訊周期為更短。
若在步驟S241-1中被特定的許可與否為不許可,且在步驟S241-2中被特定的許可與否為不許可時,由第14圖的警報條件表格360被選擇警報條件記錄361G。此時,需要警報。
若需要警報,處理係進至步驟S244。
若不需要警報,處理即結束。
步驟S244係警報輸出處理。
在步驟S244中,警報輸出部293係輸出警報。該警報係通知周期通訊未被正確進行的訊息。
具體而言,警報判定部243生成包含警報的通報封包,警 報輸出部293將通報封包傳送至監視控制終端機102。
步驟S244之後,處理即結束。
根據第17圖,具體說明侵入偵知方法。
將第1種類的周期封包稱為封包A111,將第2種類的周期封包稱為封包B112,將第3種類的周期封包稱為封包C113。周期封包的通訊周期相同。
將按封包A111、封包B112、及封包C113的每個通訊周期作區隔的通訊期間稱為期間1、期間2、期間3、及期間4。
運用狀態係在期間2與期間3之間,由狀態1遷移至狀態2。
伴隨此,白名單340係由第13圖的白名單1被切換成第13圖的白名單2。
結果,原在期間1及期間2被許可的封包A111在期間3之後變得未被許可。另一方面,原在期間1及期間2未被許可的封包C113在期間3之後即被許可。
運用狀態遷移至狀態2的結果,封包A111變得未被許可,但是在狀態遷移瞬後,有封包A111是否為真的不應許可的周期封包的曖味情形。
關於如上所示之情形,被預先定義在第14圖的警報條件表格360。
在第14圖的警報條件表格360中,相當於封包A111的記錄為警報條件記錄361B至警報條件記錄361D。
如警報條件記錄361B所示,若封包A111以比通訊周期為更短的通訊間隔被檢測到,警報即被輸出。亦即,封包A111 並未被許可。
如警報條件記錄361C所示,若封包A111依通訊周期被檢測到,警報並未被輸出。亦即,封包A111係被許可。
如警報條件記錄361D所示,若封包A111以比通訊周期為更長的通訊間隔被檢測到,警報並未被輸出。亦即,封包A111係被許可。
另一方面,關於在狀態遷移後被許可的封包C113,必須在狀態遷移後開始通訊。
在第14圖的警報條件表格360中,相當於封包C113的記錄為警報條件記錄361E及警報條件記錄361F。
如警報條件記錄361E所示,若封包C113在待機時間以內被檢測到,警報並未被輸出。亦即,封包C113C的通訊被正確開始。
如警報條件記錄361F所示,若封包C113在待機時間以內未被檢測到,即輸出警報。亦即,封包C113的通訊並未正確開始。
在第17圖中,封包C113在期間3並未被檢測到,因此封包C113的通訊並未被正確開始,警報即被輸出。
***實施形態2的效果***
可偵知不正當之周期通訊。
具體而言,關於在狀態遷移的交界,通訊被開始或結束的周期封包,進行比平常更為詳細的判定。因此,在如產業控制系統般取得固定運用形態的運用系統100中,可得可更正確地判定應許可的通訊型樣的效果。
***其他構成***
實施形態2中之警報條件表格360並非侷限於第14圖的警報條件表格360。
實施形態3.
關於使用狀態遷移封包的形態,根據第18圖至第25圖,主要說明與實施形態1及實施形態2不同之處。
***構成的說明***
根據第18圖,說明運用系統100的構成。
運用系統100係包括控制網路105。
控制網路105係保證運用系統100的控制所需之即時性的高速且高可靠的網路。
監視控制終端機102及控制器103亦被連接在控制網路105。
根據第19圖、第20圖、及第21圖,說明控制網路105的構成。
在第19圖中,控制網路105係具有:控制通訊頻寬、及平常通訊頻寬。
控制通訊頻寬係控制封包用的通訊頻寬。控制封包係為了控制運用系統100而被通訊的通訊封包。在控制封包係包含周期封包。在控制通訊頻寬中係保證即時性。
平常通訊頻寬係其他封包用的通訊頻寬。其他封包為控制封包以外的通訊封包。在平常通訊頻寬中係進行使用TCP/IP等的平常的資料通訊。TCP為Transmission Control Protocol(傳輸控制通訊協定)的簡稱,IP為Internet Protocol(網際 網路通訊協定)的簡稱。
在第20圖中,控制網路105係具有包含控制通訊時間、及平常通訊時間的通訊周期。
控制通訊時間為周期封包用的通訊時間。在控制通訊時間係進行抖動少且即時性高的通訊。
平常通訊時間為其他封包用的通訊時間。在平常通訊時間係進行使用TCP/IP等之平常的資料通訊。
具體而言,若控制網路105的通訊周期為1毫秒,控制通訊時間為前半的0.5毫秒,平常通訊時間為後半的0.5毫秒。
在控制網路105中,狀態遷移封包予以通訊。
狀態遷移封包係運用系統100的狀態遷移時予以通訊的封包。
在狀態遷移封包係包含表示狀態遷移後的運用系統100的狀態的狀態編號。
狀態遷移封包係在包含按每個通訊周期作區隔的通訊期間之中的運用系統100的狀態進行遷移的時刻的通訊期間中,在通訊封包用的通訊時間予以通訊。
在第21圖中,狀態遷移封包114係在期間2的通常通訊時間予以通訊。
侵入偵知裝置200的構成係與實施形態2的第9圖相同。
根據第22圖,說明狀態管理部210的構成。
狀態管理部210係包括:狀態特定部211、及狀態遷移判定部212作為功能構成的要素。
根據第23圖,說明記憶部291的構成。
記憶部291係記憶:運用狀態資料310、狀態遷移圖330、複數白名單340、周期通訊資料350、及警報條件表格370等。
根據第24圖,說明警報條件表格370的構成。
警報條件表格370係包含有警報條件記錄(371A~371E)。將警報條件記錄371A至警報條件記錄371E統稱為警報條件記錄371。
在警報條件記錄371係使狀態遷移前的許可與否、狀態遷移後的許可與否、通訊間隔、及警報的需要與否彼此相對應。
在通訊間隔的欄位中,連字號意指沒有通訊間隔的條件。
***動作的說明***
根據第25圖,說明侵入偵知方法。
步驟S301至步驟S320的處理係在侵入偵知裝置200的侵入偵知功能正在動作的期間被反覆執行。
步驟S301係與實施形態1中之第7圖的步驟S101相同。
步驟S302係狀態遷移判定處理。
在步驟S302中,狀態遷移判定部212係判定在步驟S301中被檢測到的通訊封包是否為狀態遷移封包。
具體而言,在狀態遷移封包設定有表示為狀態遷移封包的狀態遷移旗標。若在步驟S301被檢測到的通訊封包設定有狀態遷移旗標,狀態遷移判定部212係判定在步驟S301被檢測到的通訊封包為狀態遷移封包。
若在步驟S301被檢測到的通訊封包為狀態遷移封包,狀 態特定部211係特定狀態遷移後的運用系統100的狀態。具體而言,狀態特定部211係由狀態遷移封包取得狀態編號。以所取得的狀態編號予以識別的狀態為狀態遷移後的運用系統100的狀態。之後,處理係進至步驟S310。
若在步驟S301被檢測到的通訊封包非為狀態遷移封包,處理係進至步驟S330。
步驟S310係與實施形態1中之第7圖的步驟S120相同。
步驟S320係與實施形態2中之第15圖的步驟S240相同。
步驟S330係與實施形態1中之第7圖的步驟S130相同。
根據第21圖,具體說明侵入偵知方法。
作為周期封包的封包A111、封包B112、及封包C113係在控制通訊時間予以通訊。
狀態遷移封包114係在期間2的平常通訊時間予以通訊。
由於被保證狀態遷移封包114在期間2的平常通訊時間予以通訊,因此可在期間2與期間3的交界嚴謹地變更周期封包的許可與否。
運用狀態係在期間2與期間3之間,由狀態1遷移至狀態2。
伴隨此,白名單340係由第13圖的白名單1被切換成第13圖的白名單2。
結果,原在期間1及期間2被許可的封包A111在期間3之後變得未被許可。另一方面,原在期間1及期間2未被許可的封包C113係在期間3之後被許可。
在第24圖的警報條件表格370中,相當於封包A111的記錄為警報條件記錄371B。
如警報條件記錄371B所示,若在運用狀態遷移至狀態2之後被檢測到封包A111,警報即被輸出。亦即,封包A111並未被許可。
在第24圖的警報條件表格370中,相當於封包C113的記錄為警報條件記錄371C及警報條件記錄371D。
如警報條件記錄371C所示,若封包C113在待機時間以內被檢測到,警報並未被輸出。亦即,封包C113C的通訊係被正確開始。
如警報條件記錄371D所示,若封包C113在待機時間以內未被檢測到,警報即被輸出。亦即,封包C113的通訊並未被正確開始。
***實施形態3的效果***
可偵知不正當之周期通訊。
具體而言,利用高可靠的循環通訊而成為狀態遷移之訊號的狀態遷移封包被通訊。因此,可以周期通訊開始或結束的正確時序進行狀態遷移。接著,如產業控制系統般在取得固定的運用形態的運用系統100中,可得可更正確判定應許可的通訊型樣的效果。
***其他構成***
在第18圖的運用系統100中,侵入偵知裝置200係與實施形態1的圖1相同,亦可由控制器103獨立設置。此時,侵入偵知裝置200在第18圖的運用系統100中,與控制網路105 相連接。
在第25圖的侵入偵知方法中,亦可省略周期通訊判定處理(S320)。此時,並不需要周期通訊判定部240、運用狀態資料310、周期通訊資料350、及警報條件表格370。
***實施形態之補充***
在實施形態中,侵入偵知裝置200的功能亦可以硬體予以實現。
在第26圖中顯示以硬體實現侵入偵知裝置200的功能時的構成。
侵入偵知裝置200係包括處理電路990,處理電路990亦稱為處理電路。
處理電路990係實現狀態管理部210、白名單管理部220、侵入偵知部230、及周期通訊判定部240等「部」的功能的專用電子電路。
具體而言,處理電路990係單一電路、複合電路、經程式化的處理器、經並列程式化的處理器、邏輯IC、GA、ASIC、FPGA或該等之組合。GA為Gate Array(閘陣列)之簡稱,ASIC為Application Specific Integrated Circuit(特定功能積體電路)之簡稱,FPGA為Field Programmable Gate Array(現場可程式閘陣列)之簡稱。
侵入偵知裝置200亦可包括替代處理電路990的複數處理電路。複數處理電路係分擔「部」的功能。
侵入偵知裝置200的功能亦可以軟體與硬體的組合予以實現。亦即,亦可以軟體實現「部」的功能的一部分, 以硬體實現剩餘的「部」的功能。
實施形態係較佳形態之例示,並非為意圖限制本發明之技術範圍者。實施形態係可部分實施,亦可與其他形態組合實施。使用流程圖等所說明的順序亦可適當變更。
200‧‧‧侵入偵知裝置
210‧‧‧狀態管理部
220‧‧‧白名單管理部
230‧‧‧侵入偵知部
291‧‧‧記憶部
292‧‧‧封包檢測部
293‧‧‧警報輸出部
901‧‧‧處理器
902‧‧‧記憶體
903‧‧‧輔助記憶裝置
904‧‧‧通訊裝置

Claims (14)

  1. 一種侵入偵知裝置,包括:狀態特定部,特定運用系統的狀態;狀態遷移判定部,根據被特定的狀態,判定有無前述運用系統的狀態遷移;及遷移型樣判定部,若有前述運用系統的狀態遷移,使用表示狀態遷移之遷移型樣的狀態遷移情境,判定前述運用系統的狀態遷移是否與前述狀態遷移情境所示之遷移型樣相一致。
  2. 如申請專利範圍第1項之侵入偵知裝置,其中,包括:警報輸出部,其係若前述運用系統的狀態遷移與前述遷移型樣不一致,即輸出警報。
  3. 如申請專利範圍第1或2項之侵入偵知裝置,其中,包括:侵入偵知部,其係若前述運用系統的狀態遷移與前述遷移型樣相一致,即進行白名單型侵入偵知。
  4. 如申請專利範圍第3項之侵入偵知裝置,其中,前述侵入偵知裝置係包括:白名單管理部,其係若前述運用系統的狀態遷移與前述遷移型樣相一致,由與運用狀態產生對應的複數白名單,選擇與前述運用系統的狀態產生對應的白名單,前述侵入偵知部係使用被選擇出的白名單,進行白名單型侵入偵知。
  5. 一種侵入偵知程式產品,用以使電腦執行以下處理:特定運用系統的狀態的狀態特定處理; 根據被特定的狀態,判定有無前述運用系統的狀態遷移的狀態遷移判定處理;及若有前述運用系統的狀態遷移,使用表示狀態遷移之遷移型樣的狀態遷移情境,判定前述運用系統的狀態遷移是否與前述狀態遷移情境所示之遷移型樣相一致的遷移型樣判定處理。
  6. 一種侵入偵知裝置,包括:封包檢測部,檢測在運用系統被通訊的周期封包;檢測間隔算出部,算出前述周期封包被檢測到的檢測間隔;狀態特定部,特定前述運用系統的狀態;狀態遷移判定部,根據被特定的狀態,判定有無前述運用系統的狀態遷移;白名單管理部,由與運用狀態產生對應的複數白名單,選擇與前述運用系統的狀態產生對應的白名單;許可與否特定部,若有前述運用系統的狀態遷移,使用與狀態遷移前的狀態產生對應的白名單、及與狀態遷移後的狀態產生對應的白名單,特定狀態遷移前的前述周期封包的許可與否、及狀態遷移後的前述周期封包的許可與否;及警報判定部,根據狀態遷移前的許可與否、狀態遷移後的許可與否、通訊間隔、及警報的需要與否相互產生對應的警報條件表格、以及狀態遷移前的前述周期封包的許可與否、狀態遷移後的前述周期封包的許可與否、及前述周期封包的前述檢測間隔,判定警報的需要與否。
  7. 如申請專利範圍第6項之侵入偵知裝置,其中,前述檢測間隔算出部係若前述周期封包初次被檢測到,算出由前述運用系統的狀態成為前述周期封包被檢測到時的狀態的時刻所經過的時間作為前述檢測間隔。
  8. 如申請專利範圍第6或7項之侵入偵知裝置,其中,包括:侵入偵知部,其係若無前述運用系統的狀態遷移,使用與前述運用系統的狀態產生對應的白名單,進行白名單型侵入偵知。
  9. 一種侵入偵知程式產品,用以使電腦執行以下處理:檢測在運用系統被通訊的周期封包的封包檢測處理;算出被檢測到前述周期封包的檢測間隔的檢測間隔算出處理;特定前述運用系統的狀態的狀態特定處理;根據被特定的狀態,判定有無前述運用系統的狀態遷移的狀態遷移判定處理;由與運用狀態產生對應的複數白名單,選擇與前述運用系統的狀態產生對應的白名單的白名單管理處理;若有前述運用系統的狀態遷移,使用與狀態遷移前的狀態產生對應的白名單、及與狀態遷移後的狀態產生對應的白名單,特定狀態遷移前的前述周期封包的許可與否、及狀態遷移後的前述周期封包的許可與否的許可與否特定處理;及根據狀態遷移前的許可與否、狀態遷移後的許可與否、通訊間隔、及警報的需要與否相互產生對應的警報條件表 格、以及狀態遷移前的前述周期封包的許可與否、狀態遷移後的前述周期封包的許可與否、及前述周期封包的前述檢測間隔,判定警報的需要與否的警報判定處理。
  10. 一種侵入偵知裝置,包括:封包檢測部,檢測在運用系統的狀態進行遷移時被通訊的狀態遷移封包;及白名單管理部,若前述狀態遷移封包被檢測到,由與運用狀態產生對應的複數白名單,選擇與狀態遷移後的狀態產生對應的白名單。
  11. 如申請專利範圍第10項之侵入偵知裝置,其中,前述運用系統係包括:具有包含周期封包用的通訊時間與其他封包用的通訊時間的通訊周期的網路,前述狀態遷移封包係在包含按每個前述通訊周期被區隔的通訊期間之中的前述運用系統的狀態進行遷移的時刻的通訊期間中,在其他封包用的通訊時間予以通訊。
  12. 如申請專利範圍第11項之侵入偵知裝置,其中,前述網路係具有周期封包用的通訊頻寬與其他封包用的通訊頻寬。
  13. 如申請專利範圍第10至12項中任一項之侵入偵知裝置,其中,前述封包檢測部係檢測在前述運用系統被通訊的周期封包,前述侵入偵知裝置係包括:檢測間隔算出部,算出前述周期封包被檢測到的檢測間隔;許可與否特定部,若前述狀態遷移封包被檢測到,使用與 狀態遷移前的狀態產生對應的白名單、及與狀態遷移後的狀態產生對應的白名單,特定狀態遷移前的前述周期封包的許可與否、及狀態遷移後的前述周期封包的許可與否;及警報判定部,根據狀態遷移前的許可與否、狀態遷移後的許可與否、通訊間隔、及警報的需要與否相互產生對應的警報條件表格、以及狀態遷移前的前述周期封包的許可與否、狀態遷移後的前述周期封包的許可與否、及前述周期封包的前述檢測間隔,判定警報的需要與否。
  14. 一種侵入偵知程式產品,用以使電腦執行以下處理:檢測在運用系統的狀態進行遷移時被通訊的狀態遷移封包的封包檢測處理;及若前述狀態遷移封包被檢測到,由與運用狀態產生對應的複數白名單,選擇與狀態遷移後的狀態產生對應的白名單的白名單管理處理。
TW105126045A 2016-06-23 2016-08-16 Intrusion detection device and intrusion detection program product TWI636374B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
??PCT/JP2016/068666 2016-06-23
PCT/JP2016/068666 WO2017221373A1 (ja) 2016-06-23 2016-06-23 侵入検知装置および侵入検知プログラム

Publications (2)

Publication Number Publication Date
TW201800972A true TW201800972A (zh) 2018-01-01
TWI636374B TWI636374B (zh) 2018-09-21

Family

ID=60784447

Family Applications (1)

Application Number Title Priority Date Filing Date
TW105126045A TWI636374B (zh) 2016-06-23 2016-08-16 Intrusion detection device and intrusion detection program product

Country Status (7)

Country Link
US (1) US20190141059A1 (zh)
EP (1) EP3460701A4 (zh)
JP (1) JP6400255B2 (zh)
KR (1) KR101972295B1 (zh)
CN (1) CN109313686A (zh)
TW (1) TWI636374B (zh)
WO (1) WO2017221373A1 (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019152792A1 (en) 2018-02-02 2019-08-08 Dover Microsystems, Inc. Systems and methods for policy linking and/or loading for secure initialization
EP3788488A1 (en) * 2018-04-30 2021-03-10 Dover Microsystems, Inc. Systems and methods for checking safety properties
WO2020097179A1 (en) 2018-11-06 2020-05-14 Dover Microsystems, Inc. Systems and methods for stalling host processor
WO2020132012A1 (en) 2018-12-18 2020-06-25 Dover Microsystems, Inc. Systems and methods for data lifecycle protection
US20220367964A1 (en) * 2019-08-08 2022-11-17 Gs Yuasa International Ltd. Energy storage apparatus
DE112021008339T5 (de) * 2021-10-08 2024-07-18 Mitsubishi Electric Corporation Steuervorrichtung
JP7325695B1 (ja) * 2023-01-23 2023-08-14 三菱電機株式会社 データ処理装置、データ処理方法及びデータ処理プログラム

Family Cites Families (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7308715B2 (en) * 2001-06-13 2007-12-11 Mcafee, Inc. Protocol-parsing state machine and method of using same
JP3697249B2 (ja) * 2003-04-30 2005-09-21 株式会社エヌ・ティ・ティ・データ ネットワーク状態監視システム及びプログラム
US20060253908A1 (en) * 2005-05-03 2006-11-09 Tzu-Jian Yang Stateful stack inspection anti-virus and anti-intrusion firewall system
US20060294588A1 (en) * 2005-06-24 2006-12-28 International Business Machines Corporation System, method and program for identifying and preventing malicious intrusions
JP2008090436A (ja) * 2006-09-29 2008-04-17 Toshiba Corp 情報処理装置およびシステム状態制御方法。
JP2008129714A (ja) * 2006-11-17 2008-06-05 Univ Of Tsukuba 異常検知方法、異常検知装置及び異常検知用プログラム並びに学習モデル生成方法
US8881276B2 (en) * 2007-01-09 2014-11-04 Cisco Technology, Inc. Dynamically generated whitelist for high throughput intrusion prevention system (IPS) functionality
TWI331868B (en) * 2007-06-11 2010-10-11 Univ Nat Pingtung Sci & Tech Detecting method of network invasion
US9178898B2 (en) * 2007-09-12 2015-11-03 Avaya Inc. Distributed stateful intrusion detection for voice over IP
US8683033B2 (en) * 2007-09-17 2014-03-25 International Business Machines Corporation Apparatus, system, and method for server failover to standby server during broadcast storm or denial-of-service attack
TWI346492B (en) * 2007-11-28 2011-08-01 Inventec Corp System for intrusion protection system
US8793786B2 (en) * 2008-02-08 2014-07-29 Microsoft Corporation User indicator signifying a secure mode
JP5009244B2 (ja) * 2008-07-07 2012-08-22 日本電信電話株式会社 マルウェア検知システム、マルウェア検知方法及びマルウェア検知プログラム
CN102812675B (zh) 2010-02-04 2015-05-13 日本电信电话株式会社 分组转送处理装置、方法
WO2012104978A1 (ja) * 2011-01-31 2012-08-09 富士通株式会社 通信方法、ノード、およびネットワークシステム
US9262624B2 (en) * 2011-09-16 2016-02-16 Mcafee, Inc. Device-tailored whitelists
JP5890673B2 (ja) * 2011-12-07 2016-03-22 京セラ株式会社 無線通信システムおよび基地局
US8793806B1 (en) * 2012-07-13 2014-07-29 Google Inc. Systems and methods to selectively limit access only to a subset of content, identified in a whitelist, of a library of content
US9063721B2 (en) * 2012-09-14 2015-06-23 The Research Foundation For The State University Of New York Continuous run-time validation of program execution: a practical approach
US9405900B2 (en) * 2013-03-13 2016-08-02 General Electric Company Intelligent cyberphysical intrusion detection and prevention systems and methods for industrial control systems
US9313223B2 (en) * 2013-03-15 2016-04-12 Prevoty, Inc. Systems and methods for tokenizing user-generated content to enable the prevention of attacks
CN103150518B (zh) * 2013-03-22 2016-02-17 腾讯科技(深圳)有限公司 一种文件实时防护的方法和装置
US9124626B2 (en) * 2013-05-20 2015-09-01 International Business Machines Corporation Firewall based botnet detection
JP6248434B2 (ja) * 2013-07-03 2017-12-20 富士通株式会社 無線通信システム、無線基地局、及び、無線端末
US8938612B1 (en) * 2013-07-31 2015-01-20 Google Inc. Limited-access state for inadvertent inputs
JP6053948B2 (ja) * 2013-10-24 2016-12-27 三菱電機株式会社 情報処理装置及び情報処理方法及びプログラム
CN103716203B (zh) * 2013-12-21 2017-02-08 华中科技大学 基于本体模型的网络化控制系统入侵检测方法及系统
US9565204B2 (en) * 2014-07-18 2017-02-07 Empow Cyber Security Ltd. Cyber-security system and methods thereof
JP6351426B2 (ja) * 2014-08-01 2018-07-04 株式会社野村総合研究所 作業支援システムおよび作業支援方法
US9660994B2 (en) * 2014-09-30 2017-05-23 Schneider Electric USA, Inc. SCADA intrusion detection systems
CN104899513B (zh) * 2015-06-01 2018-06-19 上海云物信息技术有限公司 一种工业控制系统恶意数据攻击的数据图检测方法

Also Published As

Publication number Publication date
KR101972295B1 (ko) 2019-04-24
US20190141059A1 (en) 2019-05-09
TWI636374B (zh) 2018-09-21
EP3460701A4 (en) 2019-05-22
JPWO2017221373A1 (ja) 2018-11-08
JP6400255B2 (ja) 2018-10-03
WO2017221373A1 (ja) 2017-12-28
KR20190002712A (ko) 2019-01-08
EP3460701A1 (en) 2019-03-27
CN109313686A (zh) 2019-02-05

Similar Documents

Publication Publication Date Title
TW201800972A (zh) 侵入偵知裝置以及侵入偵知程式產品
CN110121876B (zh) 用于通过使用行为分析检测恶意设备的系统和方法
JP6252254B2 (ja) 監視プログラム、監視方法および監視装置
US10789118B2 (en) Information processing device and error detection method
JP6239215B2 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
US10291630B2 (en) Monitoring apparatus and method
CN107968791B (zh) 一种攻击报文的检测方法及装置
JP6054010B2 (ja) データ判定装置、データ判定方法及びプログラム
JP6509462B2 (ja) 攻撃検知装置、攻撃検知方法および攻撃検知プログラム
EP2854362B1 (en) Software network behavior analysis and identification system
JP2020004009A (ja) 異常検知装置、および、異常検知方法
US11405411B2 (en) Extraction apparatus, extraction method, computer readable medium
TW201738795A (zh) 侵入檢測裝置、侵入檢測方法以及侵入檢測程式產品
CN112437062A (zh) 一种icmp隧道的检测方法、装置、存储介质和电子设备
US20190384771A1 (en) Extracting device, extracting method and storage medium, and abnormality detecting device and abnormality detecting method
US20170213043A1 (en) Security hardened controller area network transceiver
JP2020005184A (ja) 通信システム及び通信方法
JP2018142197A (ja) 情報処理装置、方法およびプログラム
JP7147635B2 (ja) 不正送信データ検知装置
JP6067195B2 (ja) 情報処理装置及び情報処理方法及びプログラム
JP2019022099A (ja) セキュリティポリシー情報管理システム、セキュリティポリシー情報管理方法、及びプログラム
JP2017228887A (ja) 制御システム、ネットワーク装置、及び制御装置の制御方法
WO2017099062A1 (ja) 診断装置、診断方法、及び、診断プログラムが記録された記録媒体
JP7175858B2 (ja) 情報処理装置および正規通信判定方法
TWI526023B (zh) Communication devices and traces of management methods and computer program products

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees