TWI712911B - 攻擊偵測裝置、攻擊偵測方法以及攻擊偵測程式 - Google Patents
攻擊偵測裝置、攻擊偵測方法以及攻擊偵測程式 Download PDFInfo
- Publication number
- TWI712911B TWI712911B TW108116706A TW108116706A TWI712911B TW I712911 B TWI712911 B TW I712911B TW 108116706 A TW108116706 A TW 108116706A TW 108116706 A TW108116706 A TW 108116706A TW I712911 B TWI712911 B TW I712911B
- Authority
- TW
- Taiwan
- Prior art keywords
- adjustment
- mentioned
- attack
- abnormality
- detection
- Prior art date
Links
- 238000000034 method Methods 0.000 title description 21
- 238000001514 detection method Methods 0.000 claims abstract description 158
- 230000005856 abnormality Effects 0.000 claims description 56
- 238000012545 processing Methods 0.000 description 15
- 238000010586 diagram Methods 0.000 description 14
- 239000000470 constituent Substances 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 238000011835 investigation Methods 0.000 description 6
- 238000004364 calculation method Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 230000006866 deterioration Effects 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 238000007796 conventional method Methods 0.000 description 2
- 238000011867 re-evaluation Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/41815—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the cooperation between machine tools, manipulators and conveyor or other workpiece supply system, workcell
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q9/00—Arrangements in telecontrol or telemetry systems for selectively calling a substation from a main station, in which substation desired apparatus is selected for applying a control signal thereto or for obtaining measured values therefrom
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Quality & Reliability (AREA)
- Manufacturing & Machinery (AREA)
- Signal Processing (AREA)
- Automation & Control Theory (AREA)
- Evolutionary Computation (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Data Mining & Analysis (AREA)
- Artificial Intelligence (AREA)
- Medical Informatics (AREA)
- Mathematical Physics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Selective Calling Equipment (AREA)
Abstract
攻擊偵測裝置,包括異常偵測部,藉由取得包含設備ID(識別碼)的異常偵測結果,偵測對應設備ID的設備中發生異常;記憶部,記憶連結設備ID及調整時刻的資料作為調整履歷資料;以及攻擊判定部,依照異常偵測部的偵測結果,根據記憶部內記憶的調整履歷資料求出對應設備ID的設備之調整頻度,調整頻度超過對上述設備設定的容許次數時,判定上述設備受到攻擊。
Description
本發明,係關於偵測例如工廠、機械設備等的設備受到網路攻擊的攻擊偵測裝置、攻擊偵測方法以及攻擊偵測程式。
工廠、機械設備等的設備的正常狀態或故障狀態是已知時,比較過去的記錄(log)與現在的舉動,利用依照比較結果的偏離程度,具有偵測設備異常的方法(例如,參照專利文件1、2)。
又,不能事前定義設備的正常狀態時,具有根據過去的記錄適當推斷設備的正常狀態之方法(例如,參照專利文件3)。
這些習知的方法,對於偵測工廠、機械設備等的設備異常的情況有效。
[先行技術文件]
[專利文件]
[專利文件1]專利第6148316號公報
[專利文件2]專利公開第2018-073258號公報
[專利文件3]專利公開平成8年第014955號公報
[發明所欲解決的課題]
但是,在任何上述習知的方法中,判定偵測的異常是起因於設備本身的故障或惡化還是起因於來自外部的網路攻擊是困難的。
本發明,為了解決有關的課題而形成,目的在於得到可以判定偵測的設備異常是否起因於網路攻擊之攻擊偵測裝置、攻擊偵測方法以及攻擊偵測程式。
[用以解決課題的手段]
本發明的攻擊偵測裝置,包括異常偵測部,藉由取得包含用以識別設備的設備ID(識別碼)的異常偵測結果,偵測對應上述設備ID的設備中發生異常;以及攻擊判定部,依照上述異常偵測部傳送的上述異常偵測結果內包含的上述設備ID,根據連結上述設備ID及對於上述設備中發生的異常指示進行調整的時刻的調整時刻之調整履歷資料,求出對應上述設備ID的上述設備之調整頻度,上述調整頻度超過對上述設備預先設定的容許次數時,判定上述設備受到攻擊。
又,本發明的攻擊偵測方法,包括異常偵測步驟,藉由取得包含用以識別設備的設備ID的異常偵測結果,偵測對應上述設備ID的設備中發生異常,傳送上述異常偵測結果;以及攻擊判定步驟,依照上述異常偵測步驟中傳送的上述異常偵測結果內包含的上述設備ID,根據連結上述設備ID及對於上述設備中發生的異常指示進行調整的時刻的調整時刻之調整履歷資料,求出對應上述設備ID的上述設備之調整頻度,上述調整頻度超過對上述設備預先設定的容許次數時,判定上述設備受到攻擊。
又,本發明的攻擊偵測程式,用以使電腦執行以下的步驟,包括異常偵測步驟,藉由取得包含用以識別設備的設備ID的異常偵測結果,偵測對應上述設備ID的設備中發生異常,傳送上述異常偵測結果;以及攻擊判定步驟,依照上述異常偵測步驟中傳送的上述異常偵測結果內包含的上述設備ID,根據連結上述設備ID及對於上述設備中發生的異常指示進行調整的時刻的調整時刻之調整履歷資料,求出對應上述設備ID的上述設備之調整頻度,上述調整頻度超過對上述設備預先設定的容許次數時,判定上述設備受到攻擊。
[發明效果]
根據本發明的攻擊偵測裝置、攻擊偵測方法以及攻擊偵測程式,可以判定偵測的設備異常是否起因於網路攻擊。
以下,關於適合本發明的攻擊偵測裝置、攻擊偵測方法以及攻擊偵測程式的實施形態,利用圖面說明。又,以下的實施形態中,根據某一定期間內偵測的每一設備的異常履歷求出每一設備的調整頻度,藉由判別調整頻度是否超過容許次數,詳細說明關於可偵測網路攻擊的技術。又,以下的說明中,只稱網路攻擊為「攻擊」。
第一實施形態
第1圖係本發明第一實施形態的偵測伺服器101的構成圖。偵測伺服器101,相當於攻擊偵測裝置的實例。第1圖所示的偵測伺服器101,構成為包括異常偵測部111、攻擊判定部112以及記憶部120。又,記憶部120中,收納調整履歷資料121。
第2圖,顯示本發明第一實施形態中的記憶部120內收納的調整履歷資料121的資料構成的一例。如第2圖所示,調整履歷資料121,構成為互相連結調整時刻211、設備ID212以及調整內容213的各項目。又,調整履歷資料121,不限於第2圖的構成,形成只連結調整時刻211與設備ID212兩項目的構成也可以。
第3圖係顯示本發明第一實施形態中的偵測伺服器101與異常偵測裝置301的連接構成圖。如第3圖所示,偵測伺服器101與異常偵測裝置301,有線連接或無線連接,進行通訊。異常偵測裝置301,例如,設置在工廠,包括偵測工廠內的設備中發生的異常之機能。異常偵測裝置301,包括偵測設備異常的異常偵測部302。
對於偵測伺服器101,是連接複數的異常偵測裝置301的構成也沒關係。又,連接構成為複數階層形成的網路之複數的異常偵測裝置301與偵測伺服器101也可以。又,異常偵測裝置301包含在偵測伺服器101內也可以。
偵測伺服器101以及異常偵測裝置301,係由包括CPU(中央處理單元)的電腦構成。偵測伺服器101內的構成要素的異常偵測部111以及攻擊判定部112的各部機能,藉由CPU執行程式實現。同樣地,異常偵測裝置301內的構成要素的異常偵測部302的機能也藉由CPU執行程式實現。
又,用以實行構成要素的處理之程式,記憶在記憶媒體內,可以構成為由CPU從記憶媒體讀取。
第4圖係顯示分別對應本發明第一實施形態的偵測伺服器101與異常偵測裝置301之硬體構成例圖。演算裝置401、外部記憶裝置402、主記憶裝置403以及通訊裝置404,經由匯流排405互相連接。
演算裝置401,係執行程式的CPU。外部記憶裝置402,例如ROM(唯讀記憶體)、硬碟等。主記憶裝置403,通常是RAM(隨機存取記憶體)。通訊裝置404,通常是對應乙太網路(註冊商標)的通訊卡。
程式,通常記憶在外部記憶裝置402內,下載至主記憶裝置403的狀態下,依序讀入演算裝置401,實行處理。程式,實現為第1圖所示的「異常偵測部111」以及「攻擊判定部112」的機能。
又,第1圖所示的記憶部120,例如,以外部記憶裝置402實現。又,外部記憶裝置402中,也記憶作業系統(以下,稱作OS),OS的至少一部分,下載至主記憶裝置403。演算裝置401,邊實行OS,邊執行實現第1圖所示的「異常偵測部111」以及「攻擊判定部112」的機能的程式。
又,第一實施例的說明中,顯示處理結果的資訊、資料、信號值以及變數值,作為檔案記憶在主記憶裝置403內。
又,第4圖的構成,只不過表示偵測伺服器101及異常偵測裝置301的硬體構成的一例。因此,偵測伺服器101及異常偵測裝置301的硬體構成,不限於第4圖的記載,其它的構成也可以。例如,顯示器等的輸出裝置或滑鼠.鍵盤等的輸入裝置,是連接至匯流排405的構成也可以。
又,偵測伺服器101,根據各實施形態中的流程圖所示的程序,可實現本發明的各實施形態的資訊處理方法。
其次,根據第1~3圖,說明偵測伺服器101的動作。又,關於詳細的各動作,利用流程圖,之後敘述。
異常偵測部111,取得從異常偵測裝置301傳送的異常偵測結果。異常偵測結果的取得方法,可以取得異常偵測時刻及包含設備ID的內容的話,怎樣的方法都沒關係。
攻擊判定部112,利用記憶部120內記憶的調整履歷資料121,求出每一設備設定的期間內的調整頻度。又,攻擊判定部112,藉由判別調整頻度是否超過每一設備設定的容許次數,偵測受到攻擊。在此,關於容許次數,事前設定臨界值也可以,根據過去的履歷適當設定也可以。關於容許次數的決定方法,不限定。
其次,關於本第一實施形態中使用的調整履歷資料121的資料構造,利用第2圖說明。第2圖的調整履歷資料121,顯示收納調整履歷的形式的一例。
第2圖中,調整時刻211,係關於對應設備ID的設備,用以識別對於上述設備中發生異常進行調整的時刻之資訊。調整時刻211,可以辨識為日期及時刻的話,怎樣形式的資料都沒關係。
設備ID212,係用以識別發生異常進行調整的設備之單一識別碼。
調整內容213,係顯示具體實施的調整概要的資料。
第5圖係顯示本發明第一實施形態的攻擊偵測裝置中實行的一連串攻擊偵測處理之流程圖。以下,根據第5圖所示的流程圖,說明關於根據偵測伺服器101中的異常偵測部111及攻擊判定部112的攻擊偵測處理。在此,關於設備的異常,事前將由異常偵測裝置301偵測。
步驟S501中,異常偵測部111,取得異常偵測裝置301偵測的異常偵測結果。
步驟S502中,攻擊判定部112,在步驟S501中,根據被偵測異常的設備的設備ID,參照調整履歷資料121,取得設定的期間中的最近調整頻度。
步驟S503中,攻擊判定部112,比較步驟S502中取得的最近調整頻度與調整頻度的容許次數。於是,攻擊判定部112,步驟S502中取得的最近調整頻度超過容許次數時,前進至步驟S504,未超過時,前進至步驟S505。
前進至步驟S504時,攻擊判定部112,判定檢測異常的設備有受到攻擊的可能性,進行用以請求設備的詳細調查的報知。作為詳細調查的請求方法,根據畫面顯示通知人、自動訊息傳送等,可報知開始設備的詳細調查的方法的話,怎樣的方法都沒關係。
另一方面,前進至步驟S505時,攻擊判定部112,進行用以請求需要調整處理步驟S501中偵測的設備異常的報知,記錄包含調整時刻的調整結果作為調整履歷資料121,作為調整的請求方法,根據畫面顯示請求調整的訊息通知人、請求調整的訊息自動傳送等,可報知開始設備調整的方法的話,怎樣的方法都沒關係。
又,步驟S504及步驟S505中任一情況下,攻擊判定部112都根據本身進行的上述報知,進行對發生異常的設備的調整時,取得進行上述調整的時刻作為調整時刻。又,攻擊判定部112,將連結取得的調整時刻與設備ID的新資料,藉由使記憶部120記憶,更新調整履歷資料121。
第6圖係顯示本發明第一實施形態的記憶部120中記憶的履歷資料121的一例作為調整履歷資料610的圖。以下,利用第6圖,說明關於攻擊偵測的具體例。
首先,說明關於第6圖所示的調整履歷資料610的實例。第6圖中,作為調整履歷資料610,已收納10個調整履歷。調整履歷資料610的各列內容,以時刻611、設備ID612以及調整內容613構成。
第7圖係顯示本發明第一實施形態中調整履歷資料610為圖表710的圖。利用圖表710,說明關於調整頻度。圖表710的縱軸711,表示製造設備的種別,對應設備ID612。圖表710的橫軸712,表示經過時間,對應時刻611。調整履歷資料610的各列包含的時刻611以及設備ID612,對應圖表710所示的點721。
攻擊判定部112,根據第6圖所示的調整履歷資料610,特別指定第7圖所示的圖表710中調整頻度頻繁出現的處所722。調整頻度頻繁出現的處所722中的調整頻度超過容許次數時,攻擊判定部112判定有受到攻擊的可能性。在此,容許次數不是根據設備ID612而是共同值也可以,每一設備ID612不同值也沒關係。
這樣,本第一實施形態的攻擊偵測裝置的攻擊判定部112,以異常偵測部111取得的異常偵測結果作為起點,開始攻擊偵測處理。於是,攻擊判定部112,使用記憶部120內收納的調整履歷資料121,在調整頻度頻繁出現的處所中,求出設定的期間中的調整頻度。又,攻擊判定部112,藉由比較求出的調整頻度與容許次數,偵測是否有受到攻擊的可能性。即,攻擊判定部112,根據偵測設備異常的頻度,可以判定有無伺服器攻擊。
以往,只不過是偵測與已知的正常狀態不同的異常。但是,藉由利用本第一實形態的攻擊偵測裝置實行的攻擊偵測處理,得到可以偵測異常偵測的原因是否是攻擊的效果。
第二實施形態
本第二實施形態中,攻擊偵測裝置,學習視窗寬度及容許次數,藉由利用根據學習結果更新的視窗寬度及容許次數,說明關於實現可以適當偵測攻擊的檢測伺服器的情況。
第8圖係顯示本發明第二實施形態的偵測伺服器801的構成圖。偵測伺服器801,相當於攻擊偵測裝置的實例。第8圖所示的偵測伺服器801,構成為包括異常偵測部811、攻擊判定部812、作為學習部的容許範圍學習部813以及記憶部820。第8圖的偵測伺服器801,對於先前的第一實施形態中的偵測伺服器101,成為再追加容許範圍學習部813以及記憶部820內的容許範圍資料822 的構成。於是,以新追加的這些構成作為中心,在以下說明。
第9圖係顯示本發明第二實施形態中的記憶部820內收納的調整履歷資料821及容許範圍資料822的分別資料構成圖。調整履歷資料821,具有調整時刻911、設備ID912以及調整內容913,因為與先前的第一實施形態中的調整履歷資料121相同的構成,省略說明。如第9圖所示,容許範圍資料822,構成為互相連結設備ID921、視窗寬度922、容許次數923、適用開始時刻924以及適用結束時刻925的各項目。
以下,根據第8圖,說明關於偵測伺服器801的學習機能動作。又,關於詳細的各動作,利用流程圖,之後敘述。又,異常偵測部811以及攻擊判定部812的動作,因為與先前的第一實施形態所示的異常偵測部111及攻擊判定部112的動作相同,省略說明。
容許範圍學習部813,對於攻擊判定部812的攻擊判定結果,根據人或機械調查的結果,進行對容許範圍資料822的反饋。對容許範圍資料822的反饋時機,調查後反映也可以,定基反映也沒關係。
其次,關於本第二實施形態中使用的資料構造,利用第9圖說明。第9圖的調整履歷資料821,因為與第一實施形態所示的調整履歷資料121相同,省略說明。
第9圖的容許範圍資料822,係顯示收納容許範圍的形式的一例。
設備ID921,係用以識別進行調整的設備的單一識別碼。
視窗寬度922,係相當於進行攻擊判定之際用於計算調整履歷頻度的期間之視窗寬度。
容許次數923,相當於視窗寬度922中的調整履歷的頻度上限容許值。
適用開始時刻924,係開始對設備ID921應用視窗寬度922及容許次數923的時刻。適用開始時刻924的收納形式,如果可以辨識日期及時刻的形式的話,怎樣形式的資料都沒關係。
適用結束時刻925,係結束對設備ID921應用視窗寬度922及容許次數923的時刻。適用結束時刻925,在期限不能明確時,由於省略設定,適用開始時刻924以後的全部時刻成為用以進行學習的對象。又,適用結束時刻925的收納形式,係可以辨識作為日期及時刻的形式,且如果可以判別期限不明確時之形式的話,怎樣形式的資料都沒關係。
第10圖係顯示本發明第二實施形態的攻擊偵測裝置中實行的一連串攻擊偵測處理之流程圖。以下,根據第10圖所示的流程圖,說明關於偵測伺服器801中的異常偵測部811及攻擊判定部812的攻擊偵測處理。在此,關於設備的異常,事前將由異常偵測裝置301偵測。
第10圖所示的流程圖,對於先前的第一實施形態中的第5圖所示的流程圖,追加利用學習的容許次數之判定處理。
步驟S1001中,異常偵測部811,取得異常偵測裝置301偵測的異常偵測結果。
步驟S1002中,攻擊判定部812,根據步驟S1001中被偵測異常的設備的設備ID,參照容許範圍資料822,取得符合偵測異常的時刻在適用開始時刻以後且適用結束時刻以內,或者在適用開始時刻以後且無適用結束時刻之列中的視窗寬度及容許次數。
步驟S1003中,攻擊判定部812,根據步驟S1001中被偵測異常的設備的設備ID,參照調整履歷資料821,取得最近的調整頻度。在此,攻擊判定部812,利用在步驟S1002中取得的視窗寬度,計算上述視窗寬度所示的期間內包含的上述設備的最近調整頻度。具體而言,視窗寬度是3小時的話,攻擊判定部812,計算在最近的3小時以內進行的調整實施次數,作為調整頻度。
步驟S1004中,攻擊判定部812,比較步驟S1002中取得的容許次數與步驟S1003中取得的最近調整頻度。於是,攻擊判定部812,在最近的調整頻度超過容許次數時,前進至步驟S1005,沒超過時,前進至步驟S1006。
前進至步驟S1005時,攻擊判定部812,判定偵測異常的設備有受到攻擊的可能性,進行用以請求設備的詳細調查的報知。作為詳細調查的請求方法,根據畫面顯示通知人、自動訊息傳送等,可以報知開始設備的詳細調查的方法的話,怎樣的方法都沒關係。
另一方面,前進至步驟S1006時,攻擊判定部812進行用以請求需要調整處理步驟S1001中偵測的設備異常的報知,記錄調整結果作為調整履歷資料821,作為調整的請求方法,根據畫面顯示請求調整的訊息通知人、請求調整的訊息自動傳送等,可報知開始設備調整的方法的話,怎樣的方法都沒關係。
第11圖係顯示本發明第二實施形態的攻擊偵測裝置中實行關於視窗寬度及容許次數的一連串學習處理之流程圖。
步驟S1101中,容許範圍學習部813取得作為學習對象的製造設備的設備ID。容許範圍學習部813取得設備ID的方法,以人力輸入的情況也好,反映機械調查結果的情況也好,如果可辨識設備ID的方法的話,怎樣的方法都沒關係。
步驟S1102中,容許範圍學習部813,根據在步驟S1101中取得的設備ID,參照容許範圍資料822,取得對應最新適用開始時刻的列設定的視窗寬度及容許次數。
步驟S1103中,容許範圍學習部813,根據攻擊判定部812的判定結果,學習在步驟S1102中取得的視窗寬度及容許次數,進行重新評估上述視窗寬度及容許次數。關於具體的重新評估方法,例如,考慮導入新的設備時當初先縮小視窗寬度及容許次數,根據實際的調整頻度,變更視窗寬度及容許次數,製造的製品種類改變很大時,根據實際的調整頻度變更視窗寬度及容許次數,根據設備的惡化傾向增加容許數等重新評估方法。容許範圍學習部813的重新評估方法,如果是根據過去履歷的統計方法、根據機械學習的方法等可定量化視窗寬度及容許次數的方法的話,怎樣的方法都沒關係。
步驟S1104中,容許範圍學習部813,更新在步驟S1102中參照列的適用結束時刻成為開始應用步驟S1103重新評估的視窗寬度及容許次數的時刻。又,容許範圍學習部813,以其時刻為適用開始時刻,利用步驟S1103重新評估的視窗寬度及容許次數,追加新列至容許範圍資料822。
在此,新追加的行中的適用結束時刻為「無」,設備ID為步驟S1101中取得的設備ID。藉由進行如此的一連串處理,關於學習對象的設備,可以追加實行重新評估視窗寬度及容許次數的新列。
這樣,本第二實施形態中,偵測伺服器801,根據設備的實際動作,藉由使容許範圍學習部813學習記憶部120內的容許範圍資料822,各個設備,可以逐次更新適當的視窗寬度及容許次數。結果可以更提高攻擊判定的精度。
藉此,除了第一實施形態的效果之外,還有製造的製品變化大時,由於惡化調整頻度緩緩變化的情況等,也得到可以高精度偵測攻擊的效果。
又,上述第一實施形態中,說明偵測伺服器101包括記憶部120。但是,不限於此,記憶部120,不是偵測伺服器101的構成要素,作為外部裝置的構成要素,設置在偵測伺服器101的外部也可以。作為那情況的構成例,例如,設置在偵測伺服器101的外部的伺服器等的外部裝置中,先設置記憶部120。於是,偵測伺服器101,從上述外部裝置取得上述外部裝置的記憶部120中積累的調整履歷資料121,判定有無攻擊設備也可以。又,關於第二實施形態的偵測伺服器801的記憶部820也相同。即,記憶部820,不是偵測伺服器801的構成要素,作為外部裝置的構成要素,設置在偵測伺服器801的外部也可以。作為那情況的偵測伺服器801以及記憶部820的構成例,因為只要與偵測伺服器101及記憶部120相同即可,在此省略其說明。
101:偵測伺服器
111:異常偵測部
112:攻擊判定部
120:記憶部
121:調整履歷資料
211:調整時刻
212:設備ID
213:調整內容
301:異常偵測裝置
302:異常偵測部
401:演算裝置
402:外部記憶裝置
403:主記憶裝置
404:通訊裝置
405:匯流排
610:調整履歷資料
611:時刻
612:設備ID
613:調整內容
711:製造設備
712:時間
801:偵測伺服器
811:異常偵測部
812:攻擊判定部
813:容許範圍學習部
820:記憶部
821:調整履歷資料
822:容許範圍資料
911:調整時刻
912:設備ID
913:調整內容
921:設備ID
922:視窗寬度
923:容許次數
924:適用開始時刻
925:適用結束時刻
[第1圖]係本發明第一實施形態的偵測伺服器的構成圖;
[第2圖]係顯示本發明第一實施形態中的記憶部內收納的調整履歷資料的資料構成圖;
[第3圖]係顯示本發明第一實施形態的偵測伺服器與異常偵測裝置的連接構成圖;
[第4圖]係顯示分別對應本發明第一實施形態的偵測伺服器與異常偵測裝置之硬體構成例圖;
[第5圖]係顯示本發明第一實施形態的攻擊偵測裝置中實行的一連串攻擊偵測處理之流程圖;
[第6圖]係顯示本發明第一實施形態的記憶部中記憶的資訊的一例圖;
[第7圖]係顯示本發明第一實施形態中調整履歷資料為圖表的圖;
[第8圖]係顯示本發明第二實施形態的偵測伺服器的構成圖;
[第9圖]係顯示本發明第二實施形態中的記憶部內收納的調整履歷資料及容許範圍資料的分別資料構成圖;
[第10圖]係顯示本發明第二實施形態的攻擊偵測裝置中實行的一連串攻擊偵測處理之流程圖;以及
[第11圖]係顯示本發明第二實施形態的攻擊偵測裝置中實行關於視窗寬度及容許次數的一連串學習處理之流程圖。
101:偵測伺服器
111:異常偵測部
112:攻擊判定部
120:記憶部
121:調整履歷資料
Claims (7)
- 一種攻擊偵測裝置,包括:異常偵測部,藉由取得包含用以識別設備的設備ID的異常偵測結果,偵測對應上述設備ID的設備中發生異常;以及攻擊判定部,依照上述異常偵測部傳送的上述異常偵測結果內包含的上述設備ID,根據連結上述設備ID及對於上述設備中發生的異常指示進行調整的時刻的調整時刻之調整履歷資料,求出對應上述設備ID的上述設備之調整頻度,上述調整頻度超過對上述設備預先設定的容許次數時,判定上述設備受到攻擊。
- 如申請專利範圍第1項所述的攻擊偵測裝置,更包括:記憶部,記憶上述調整履歷資料。
- 如申請專利範圍第2項所述的攻擊偵測裝置,其中,上述攻擊判定部,由於從上述異常偵測部取得上述異常偵測結果,特別指定對應上述異常偵測結果內包含的上述設備ID的上述設備,進行報知關於特別指定的上述設備需要調整;根據上述報知,取得對於發生上述異常的上述設備進行調整的時刻作為上述調整時刻;藉由使上述記憶部記憶連結上述設備ID與上述調整時刻的新資料,更新上述調整履歷資料。
- 如申請專利範圍第2或3項所述的攻擊偵測裝置,其中,上述記憶部內,更記憶用以求出包含每一上述設備ID的上述調整頻度的期間與上述容許次數的容許範圍資料;上述攻擊判定部,求出對於上述期間的上述調整頻度,上述調整頻度超過上述容許次數時,判定上述設備受到攻擊。
- 如申請專利範圍第4項所述的攻擊偵測裝置,更包括: 學習部,根據上述攻擊判定部的判定結果履歷,學習連結至上述設備ID記憶在上述記憶部內的上述期間及上述容許次數,並根據學習結果更新上述容許範圍資料。
- 一種攻擊偵測方法,包括:異常偵測步驟,藉由取得包含用以識別設備的設備ID的異常偵測結果,偵測對應上述設備ID的設備中發生異常,傳送上述異常偵測結果;以及攻擊判定步驟,依照上述異常偵測步驟中傳送的上述異常偵測結果內包含的上述設備ID,根據連結上述設備ID及對於上述設備中發生的異常指示進行調整的時刻的調整時刻之調整履歷資料,求出對應上述設備ID的上述設備之調整頻度,上述調整頻度超過對上述設備預先設定的容許次數時,判定上述設備受到攻擊。
- 一種攻擊偵測程式,用以使電腦執行下列步驟,包括:異常偵測步驟,藉由取得包含用以識別設備的設備ID的異常偵測結果,偵測對應上述設備ID的設備中發生異常,傳送上述異常偵測結果;以及攻擊判定步驟,依照上述異常偵測步驟中傳送的上述異常偵測結果內包含的上述設備ID,根據連結上述設備ID及對於上述設備中發生的異常指示進行調整的時刻的調整時刻之調整履歷資料,求出對應上述設備ID的上述設備之調整頻度,上述調整頻度超過對上述設備預先設定的容許次數時,判定上述設備受到攻擊。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2018/042550 WO2020100307A1 (ja) | 2018-11-16 | 2018-11-16 | 攻撃検知装置、攻撃検知方法、および攻撃検知プログラム |
| WOPCT/JP2018/042550 | 2018-11-16 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW202020709A TW202020709A (zh) | 2020-06-01 |
| TWI712911B true TWI712911B (zh) | 2020-12-11 |
Family
ID=70731441
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW108116706A TWI712911B (zh) | 2018-11-16 | 2019-05-15 | 攻擊偵測裝置、攻擊偵測方法以及攻擊偵測程式 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20210232686A1 (zh) |
| JP (1) | JP6862615B2 (zh) |
| KR (1) | KR102382134B1 (zh) |
| CN (1) | CN112997177B (zh) |
| DE (1) | DE112018008071B4 (zh) |
| TW (1) | TWI712911B (zh) |
| WO (1) | WO2020100307A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20230290193A1 (en) | 2022-03-08 | 2023-09-14 | Denso Corporation | Detecting tampering of an electronic device |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010097342A (ja) * | 2008-10-15 | 2010-04-30 | Toshiba Corp | 異常動作検出装置及びプログラム |
| US20100169973A1 (en) * | 2008-12-30 | 2010-07-01 | Ki Hong Kim | System and Method For Detecting Unknown Malicious Code By Analyzing Kernel Based System Actions |
| CN102413127A (zh) * | 2011-11-09 | 2012-04-11 | 中国电力科学研究院 | 一种数据库综合安全防护方法 |
| US8375450B1 (en) * | 2009-10-05 | 2013-02-12 | Trend Micro, Inc. | Zero day malware scanner |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS54148428A (en) | 1978-05-15 | 1979-11-20 | Nec Corp | Phase converter circuit |
| JPH0814955A (ja) | 1994-07-01 | 1996-01-19 | Nissan Motor Co Ltd | 設備異常診断装置およびその方法 |
| JP5264470B2 (ja) * | 2008-12-26 | 2013-08-14 | 三菱電機株式会社 | 攻撃判定装置及びプログラム |
| JP5689333B2 (ja) * | 2011-02-15 | 2015-03-25 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 異常検知システム、異常検知装置、異常検知方法、プログラムおよび記録媒体 |
| WO2012132527A1 (ja) * | 2011-03-28 | 2012-10-04 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 異常検知システム、異常検知方法、およびそのプログラム |
| US8732523B2 (en) * | 2011-10-24 | 2014-05-20 | Arm Limited | Data processing apparatus and method for analysing transient faults occurring within storage elements of the data processing apparatus |
| US8904506B1 (en) | 2011-11-23 | 2014-12-02 | Amazon Technologies, Inc. | Dynamic account throttling |
| WO2015029150A1 (ja) * | 2013-08-28 | 2015-03-05 | 株式会社 日立製作所 | 保守サービス方法および保守サービスシステム |
| US9699205B2 (en) * | 2015-08-31 | 2017-07-04 | Splunk Inc. | Network security system |
| CN105303373B (zh) * | 2015-09-22 | 2019-03-26 | 深圳市新国都支付技术有限公司 | 一种频率防探测电路和方法 |
| JP6684690B2 (ja) * | 2016-01-08 | 2020-04-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム |
| JP6606050B2 (ja) | 2016-11-02 | 2019-11-13 | 日本電信電話株式会社 | 検知装置、検知方法および検知プログラム |
| US11405411B2 (en) * | 2017-03-31 | 2022-08-02 | Nec Corporation | Extraction apparatus, extraction method, computer readable medium |
| CN108768942B (zh) * | 2018-04-20 | 2020-10-30 | 武汉绿色网络信息服务有限责任公司 | 一种基于自适应阈值的DDoS攻击检测方法和检测装置 |
-
2018
- 2018-11-16 CN CN201880099402.8A patent/CN112997177B/zh active Active
- 2018-11-16 JP JP2020556576A patent/JP6862615B2/ja active Active
- 2018-11-16 WO PCT/JP2018/042550 patent/WO2020100307A1/ja active Application Filing
- 2018-11-16 KR KR1020217013351A patent/KR102382134B1/ko active IP Right Grant
- 2018-11-16 DE DE112018008071.4T patent/DE112018008071B4/de active Active
-
2019
- 2019-05-15 TW TW108116706A patent/TWI712911B/zh active
-
2021
- 2021-04-12 US US17/227,752 patent/US20210232686A1/en active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010097342A (ja) * | 2008-10-15 | 2010-04-30 | Toshiba Corp | 異常動作検出装置及びプログラム |
| US20100169973A1 (en) * | 2008-12-30 | 2010-07-01 | Ki Hong Kim | System and Method For Detecting Unknown Malicious Code By Analyzing Kernel Based System Actions |
| US8375450B1 (en) * | 2009-10-05 | 2013-02-12 | Trend Micro, Inc. | Zero day malware scanner |
| CN102413127A (zh) * | 2011-11-09 | 2012-04-11 | 中国电力科学研究院 | 一种数据库综合安全防护方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112997177A (zh) | 2021-06-18 |
| KR102382134B1 (ko) | 2022-04-01 |
| JP6862615B2 (ja) | 2021-04-21 |
| KR20210057194A (ko) | 2021-05-20 |
| JPWO2020100307A1 (ja) | 2021-02-25 |
| CN112997177B (zh) | 2024-07-26 |
| DE112018008071T5 (de) | 2021-07-01 |
| TW202020709A (zh) | 2020-06-01 |
| WO2020100307A1 (ja) | 2020-05-22 |
| US20210232686A1 (en) | 2021-07-29 |
| DE112018008071B4 (de) | 2023-08-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10860406B2 (en) | Information processing device and monitoring method | |
| JP6585482B2 (ja) | 機器診断装置及びシステム及び方法 | |
| CN107871190A (zh) | 一种业务指标监控方法及装置 | |
| JP6880560B2 (ja) | 故障予測装置、故障予測方法及び故障予測プログラム | |
| JP6280862B2 (ja) | イベント分析システムおよび方法 | |
| US11640459B2 (en) | Abnormality detection device | |
| US9860109B2 (en) | Automatic alert generation | |
| WO2018216197A1 (ja) | 異常重要度算出システム、異常重要度算出装置、及び異常重要度算出プログラム | |
| TWI712911B (zh) | 攻擊偵測裝置、攻擊偵測方法以及攻擊偵測程式 | |
| JP6618846B2 (ja) | 管理装置および制御方法 | |
| US20240160165A1 (en) | Method and System for Predicting Operation of a Technical Installation | |
| JPWO2020183539A1 (ja) | 故障診断システム、故障予測方法、および故障予測プログラム | |
| JP6294145B2 (ja) | 監視方法、監視装置および監視制御プログラム | |
| AU2023203898B2 (en) | Method For Managing Plant, Plant Design Device, And Plant Management Device | |
| JP7215574B2 (ja) | 監視システム、監視方法及びプログラム | |
| JP6308511B1 (ja) | ユーザに作業指示を与えることに関連するサービスを提供するためのサーバ装置、そのサーバ装置において実行される方法およびプログラム | |
| US10295965B2 (en) | Apparatus and method for model adaptation | |
| JP5935890B2 (ja) | 障害検出装置、障害検出プログラムおよび障害検出方法 | |
| TW201827963A (zh) | 攻擊/異常偵知裝置、攻擊/異常偵知方法以及攻擊/異常偵知程式 | |
| JP2018191217A (ja) | データ監視装置、データ監視方法及びデータ監視プログラム | |
| WO2020095993A1 (ja) | 推論装置、情報処理装置、推論方法、プログラム及び記録媒体 | |
| US20240231346A1 (en) | Pre-Trained Rule Engine and Method to Provide Assistance to Correct Abnormal Events in Equipment | |
| JP2021163162A (ja) | 学習データ処理装置、学習データ処理方法、学習データ処理プログラム、及び非一時的なコンピュータ読み取り可能な媒体 | |
| EP4392876A1 (en) | A computer implemented method for determining a data synchronization state between a source database and a target database | |
| JP2013178850A (ja) | 監視システム、監視方法、及びプログラム |