WO2016143231A1 - インシデント検知システム - Google Patents

インシデント検知システム Download PDF

Info

Publication number
WO2016143231A1
WO2016143231A1 PCT/JP2015/086065 JP2015086065W WO2016143231A1 WO 2016143231 A1 WO2016143231 A1 WO 2016143231A1 JP 2015086065 W JP2015086065 W JP 2015086065W WO 2016143231 A1 WO2016143231 A1 WO 2016143231A1
Authority
WO
WIPO (PCT)
Prior art keywords
information
gateway device
unit
detection system
incident detection
Prior art date
Application number
PCT/JP2015/086065
Other languages
English (en)
French (fr)
Inventor
宏樹 内山
大和田 徹
信 萱島
雄介 藤原
訓 大久保
純 濱中
Original Assignee
株式会社日立製作所
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社日立製作所 filed Critical 株式会社日立製作所
Priority to US15/547,905 priority Critical patent/US10348746B2/en
Publication of WO2016143231A1 publication Critical patent/WO2016143231A1/ja

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Abstract

制御装置に処理負荷を掛けることなく、不正な通信を検知するシステムを提供する。セキュリティインシデントを検知するインシデント検知システムであって、ゲートウェイ装置は、自ゲートウェイ装置の識別情報を生成するID生成部と、制御装置から送信された制御情報と、通信パケットに自ゲートウェイ装置の識別情報を付与した経路情報と、を含む検知パケットを生成する検知パケット生成部と、検知パケットを含むログ情報を生成するログ生成部と、ゲートウェイ装置にネットワークで接続された管理サーバにログ情報を送信し、または制御情報に基づいて制御される制御装置に検知パケットを送信する装置通信部と、を備え、管理サーバは、ゲートウェイ装置からログ情報を受信するサーバ通信部と、ログ情報から経路情報を抽出した想定経路情報をあらかじめ記憶部に記憶する通信経路抽出部と、記憶部に記憶されている想定経路情報と、ログ情報に含まれる経路情報とに基づいて、不正な通信パケットを検知するインシデント検知部と、を備える。

Description

インシデント検知システム
 本発明は、ネットワークで接続された制御システムで発生するサイバー攻撃等のインシデントを検知するシステムに関し、さらに詳しくは、制御システム内の通信パケットに経路情報を埋め込み,正当な経路情報を持たない通信パケットを不正な通信パケットとして検知するシステムに関する。
 電力、鉄道、水道、ガスといった社会インフラや自動車で利用される制御システムは、センサの情報をもとにバルブやアクチュエータといった装置を動作させ、あらかじめ設定されている圧力や温度を保つことが要求される。この動作を実現するためには、定期的にセンサからの情報を取得し、状態を確認し、必要に応じて制御を行うということが必要となる。このため、制御システムでは周期的に処理を行うことが通例であり、システム内の各装置で実行される処理は1周期の中で完結することが要求される。また、常に1周期内で完結するために、各処理の処理時間が状況によって変化せずに一定であることも求められる。このような条件を満たすように構築されている現在の制御システムは、電力、鉄道、水道、自動車といった適用先によって周期や1周期内の空き時間が大きく異なっており、新たな処理を追加するためには、適用先毎に空き時間を見積もり、実装可能な処理内容を検討する必要がある。
 一方、制御システムはこれまで専用OSや専用プロトコルを利用しており、インターネット等の外部ネットワークからアクセスできない領域に孤立した状態で設置されているため、いわゆるコンピュータウィルスやDoS攻撃といったサイバー攻撃からは無縁であると考えられてきた。しかしながら、コスト削減のために汎用OSや汎用プロトコルを利用するケースが増加しており、また、効率向上のために情報系システムとの接続も進んできている。さらに、近年では、制御システムをターゲットとしたコンピュータウィルスが発見されてきている。このように、制御システムにおいても情報システムと同様にマルウェア等の感染や外部からの不正アクセスを検知する技術が必要となってきている。
 このような課題に対し、予め制御システム内で実施される通信のパターン(送信元、送信先、プロトコル等)やデータのフォーマットをリスト化し、そのパターンに合致しない通信を不正な通信として検知する技術が知られている(たとえば、特許文献1参照)。
 また、通信パケットに認証データを付与し、正当な認証データを持たない通信パケットを不正な通信パケットとして識別する技術が知られている(たとえば、非特許文献1参照)。
特開2012-34273号公報
S. Kent, K. Seo, "Security Architecture for the Internet Protocol (RFC4301)", [online], 2005年12月, IETF, [2014年11月25日検索], インターネット<URL: https://tools.ietf.org/html/rfc4301>
 制御システムを構成する制御装置は処理時間制約のため、暗号化や認証といった追加の処理が必要となるセキュリティ機能の導入は困難であった。また、定常的な通信パターンをリスト化し、不正な通信パケットを検知する技術では、予めあらゆる通信をリスト化しておく必要があり、緊急時にのみ実行する業務などで抜け漏れがあった場合には誤検知に繋がる可能性があった。また、制御システムのように頻繁に通信が行われる環境下では、検証対象となる通信パケットの数が膨大となり、それらのデータを検証するための負荷が非常に高くなってしまうという問題があった。
 本発明は、上記事情に鑑みてなされたものであり、制御装置に処理負荷を掛けることなく、不正な通信を検知するシステムを提供することを目的とする。
 上述した課題を解決し、目的を達成するために、本発明にかかるインシデント検知システムは、セキュリティインシデントを検知するインシデント検知システムであって、ゲートウェイ装置は、自ゲートウェイ装置の識別情報を生成するID生成部と、制御装置から送信された制御情報と、通信パケットに前記自ゲートウェイ装置の識別情報を付与した経路情報と、を含む検知パケットを生成する検知パケット生成部と、前記検知パケットを含むログ情報を生成するログ生成部と、前記ゲートウェイ装置にネットワークで接続された管理サーバに前記ログ情報を送信し、または前記制御情報に基づいて制御される制御装置に前記検知パケットを送信する装置通信部と、を備え、前記管理サーバは、前記ゲートウェイ装置から前記ログ情報を受信するサーバ通信部と、前記ログ情報から前記経路情報を抽出した想定経路情報をあらかじめ記憶部に記憶する通信経路抽出部と、前記記憶部に記憶されている前記想定経路情報と、前記ログ情報に含まれる前記経路情報とに基づいて、不正な通信パケットを検知するインシデント検知部と、を備えることを特徴とするインシデント検知システムとして構成される。
 また、本発明にかかるインシデント検知システムは、セキュリティインシデントを検知するインシデント検知システムであって、第1のゲートウェイ装置は、自ゲートウェイ装置の識別情報を生成するID生成部と、制御装置から送信された制御情報と、通信パケットに前記自ゲートウェイ装置の識別情報を付与した経路情報と、を含む検知パケットを生成する検知パケット生成部と、前記第1のゲートウェイ装置にネットワークで接続された第2のゲートウェイ装置に前記検知パケットを送信する第1の装置通信部と、を備え、前記第2のゲートウェイ装置は、前記第1のゲートウェイ装置から前記検知パケットを受信し、または前記制御情報に基づいて制御される制御装置に前記検知パケットを送信する第2の装置通信部と、前記検知パケットをログ情報として記憶部に格納するログ生成部と、前記ログ情報から前記経路情報を抽出した想定経路情報をあらかじめ記憶部に記憶する通信経路抽出部と、前記記憶部に記憶されている前記想定経路情報と、前記ログ情報に含まれる前記経路情報とに基づいて、不正な通信パケットを検知するインシデント検知部と、を備えることを特徴とするインシデント検知システムとしても把握される。
 本発明によれば、制御装置に処理負荷を掛けずに、不正な通信を検知することが可能となる。
本発明の第一の実施形態が適用されたインシデント検知システムの構成を例示する図である。 図1に示す制御装置のハードウェア構成を例示する図である。 図1に示すゲートウェイ装置のハードウェア構成を例示する図である。 図1に示す管理サーバのハードウェア構成を例示する図である。 本発明の第一の実施形態が適用されたインシデント検知システムにおいて、試運転時や運転時にシステム内で実施する処理フローを例示する図である。 本発明の第一の実施形態が適用されたインシデント検知システムにおいて、試運転時に各ゲートウェイ装置に秘密情報を配布し、識別情報を収集する際の処理フローを例示する図である。 本発明の第一の実施形態が適用されたインシデント検知システムにおいて、試運転時に各ゲートウェイ装置から正当な通信パケットの経路情報を収集する際の処理フローを例示する図である。 本発明の第一の実施形態が適用されたインシデント検知システムにおいて、運転時に各ゲートウェイ装置から収集した通信パケットの経路情報から不正な通信パケットを検知する処理フローを例示する図である。 本発明の第一の実施形態が適用されたインシデント検知システムにおいて、運転時に管理サーバ内で行うインシデント検知の処理フローを例示する図である。 本発明の第一の実施形態が適用されたインシデント検知システムにおいて、運転後にゲートウェイ装置を新たに追加した場合の処理フローを例示する図である。 本発明の第一の実施形態が適用されたインシデント検知システムにおいて、運転後にゲートウェイ装置の状態を確認する処理フローを例示する図である。 本発明の第一の実施形態が適用されたインシデント検知システムにおいて、各ゲートウェイ装置が生成する検知パケットの構成を例示する図である。 本発明の第一の実施形態が適用されたインシデント検知システムにおいて、検知パケットに含まれる経路情報の構成を例示する図である。 本発明の第一の実施形態が適用されたインシデント検知システムにおいて、各ゲートウェイ装置が生成するログの構成を例示する図である。 本発明の第一の実施形態が適用されたインシデント検知システムにおいて、管理サーバに格納されている想定経路の構成を例示する図である。 本発明の第一の実施形態が適用されたインシデント検知システムにおいて、管理サーバに格納されているゲートウェイリストの構成を例示する図である。 本発明の第二の実施形態が適用されたインシデント検知システムの構成を例示する図である。 本発明の第二の実施形態が適用されたインシデント検知システムにおいて、試運転時や運転時にシステム内で実施する処理フローを例示する図である。 本発明の第二の実施形態が適用されたインシデント検知システムにおいて、試運転時に各ゲートウェイ装置が正当な通信パケットの経路情報を収集する際の処理フローを例示する図である。 本発明の第二の実施形態が適用されたインシデント検知システムにおいて、運転時に各ゲートウェイ装置が収集した通信パケットの経路情報から不正な通信パケットを検知する処理フローを例示する図である。
 本発明の一実施形態について説明する。なお、これにより本発明が限定されるものではない。
 図1は、本発明の第一の実施形態が適用されたインシデント検知システムの構成図である。本実施形態のインシデント検知システムは、図1に例示するように、制御装置10~10と、ゲートウェイ装置20~20と、管理サーバ30と、ネットワーク40と、から構成されている。
 制御装置10~10は、制御処理を行う制御処理部101~101と、ゲートウェイ装置20~20等と通信を行う通信部102~102と、を含む。
 ゲートウェイ装置20~20は、自ゲートウェイ装置の識別情報を生成するID生成部201~201と、通過するパケットに対して自ゲートウェイ装置の識別情報を付与した検知パケットを生成する検知パケット生成部202~202と、通過する通信パケットのログ情報を生成するログ生成部203~203と、ゲートウェイ装置20~20の動作モードを変更するモード変更部204~204と、制御装置10~制御装置10やネットワーク40と通信を行う第一通信部205~205と、自ゲートウェイ装置で生成したログを格納するログ格納部206~206と、自ゲートウェイ装置の識別情報を生成する際に必要となる秘密情報を格納する秘密情報格納部207~207と、制御装置10~制御装置10やネットワーク40と通信を行う第二通信部208~208と、を含む。
 管理サーバ30は、管理サーバ30の動作モードを変更するモード変更部301と、ゲートウェイ装置20~20から収集したログ情報からインシデントを検知するインシデント検知部302と、ゲートウェイ装置20~20に対して送付する秘密情報を生成する秘密情報生成部303と、ゲートウェイ装置20~20からログ情報を収集するログ収集部304と、ネットワーク40と通信を行う通信部305と、ゲートウェイ装置20~20から収集したログ情報から想定経路を抽出する想定経路抽出部306と、抽出した想定経路を格納する想定経路格納部307と、ゲートウェイ装置20~20から収集したログ情報を統合して格納する統合ログ格納部308と、生成した秘密情報を格納する秘密情報格納部309と、ゲートウェイ装置20~20のリストを格納するゲートウェイリスト格納部310と、を含む。以下では、想定経路抽出部306は、ログ収集部304が収集したログ情報から想定経路を抽出しているが、想定経路抽出部306が直接ログ情報を収集してもよい。
 図2は制御装置10~10のハードウェア構成を例示する図である。制御装置10~10は、通信装置11と、入出力装置12と、記憶装置13と、CPU14と、メモリ15と、がバスなどの内部通信線16で連結され、構成されている。
 図3はゲートウェイ装置20~20のハードウェア構成を例示する図である。ゲートウェイ装置20~20は、第一通信装置21と、入出力装置22と、記憶装置23と、第二通信装置24と、CPU25と、メモリ26と、がバスなどの内部通信線27で連結され、構成されている。
 図4は管理サーバ30のハードウェア構成を例示する図である。管理サーバ30は、通信装置31と、入出力装置32と、記憶装置33と、CPU34と、メモリ35と、記憶媒体37を読み込む読取装置36と、がバスなどの内部通信線38で連結され、構成されている。
 本実施形態のインシデント検知システムにおける処理フローについて説明する。以下に述べる処理フローは、制御装置10~10やゲートウェイ装置20~20や管理サーバ30の記憶装置に格納されたプログラムがメモリにロードされ、CPUにより実行されることにより、インシデント検知システムを構成する装置上に具現化される各処理部により実行されるものである。また、各プログラムは予め記憶装置に格納されても良いし、他の記憶媒体または通信媒体(ネットワークまたはネットワークを伝搬する搬送波)を介して、必要なときに導入されても良い。
 図5は、本発明の第一の実施形態が適用されたインシデント検知システムにおいて、試運転や運転時にシステム内で実施する処理フローを示した図である。
 はじめに、管理サーバ30のモード変更部301は、試運転時に管理サーバの動作モードを、処理の事前準備をするモードである初期化モードに設定する(S501(S501と表現する。以下同様))。次に、通信部305は、初期化モードに設定したことを示す初期化モード通知(A501)を各ゲートウェイ装置20~20に送信する。
 次に、各ゲートウェイ装置20~20のモード変更部204~204は、受信した初期化モード通知(A501)をもとに初期化モードに設定する(S502)。
 次に、各ゲートウェイ装置20~20と管理サーバの間で、初期化処理を実施する(S503)。初期化処理の詳細については、以降の図6に記載する。
 次に、初期化処理が終了後、各ゲートウェイ装置20~20のモード変更部204~204は、初期化モードを解除する(S504)。
 次に、管理サーバ30のモード変更部301は、管理サーバ30の動作モードを、想定経路を収集するモードである経路収集モードに設定する(S505)。
 次に、各ゲートウェイ装置20~20と管理サーバの間で、経路収集処理を実施する(S506)。経路収集処理の詳細については、以降の図7に記載する。
 次に、管理サーバ30のモード変更部301は、経路収集処理が終了後、運転時に管理サーバ30の動作モードを、通信パケットの経路を検知するモードである検知モードに設定する(S507)。
 次に、各ゲートウェイ装置20~20と管理サーバ30間で、検知処理を実施する(S508)。検知処理の詳細については、以降の図8に記載する。
 次に、システムに新規ゲートウェイ装置を追加する際に、各ゲートウェイ装置20~20と管理サーバ30間で、装置追加処理を実施する(S509)。装置追加処理の詳細については、以降の図10に記載する。
 次に、システムからゲートウェイ装置を削除した際、もしくは、定期的、もしくは、任意のタイミングで各ゲートウェイ装置20~20と管理サーバ30間で、状態確認処理を実施する(S510)。状態確認処理の詳細については、以降の図11に記載する。
 図6は、本発明の第一の実施形態が適用されたインシデント検知システムにおいて、試運転時に各ゲートウェイ装置に秘密情報を配布し、識別情報を収集する際の処理フローを示した図である。
 はじめに、管理サーバ30の秘密情報生成部303は、各ゲートウェイ装置に配付する秘密情報を生成する(S601)。ここで秘密情報は暗号化情報であり、暗号演算によって生成してもよいし、擬似乱数や真正乱数によって生成してもよいし、外部からの入力によって生成してもよい。次に、秘密情報生成部303は、生成した秘密情報を格納する(S602)。次に、通信部305は、生成した秘密情報(A601)を各ゲートウェイ装置20~20に送付する。
 次に、秘密情報を受信したゲートウェイ装置20~20のID生成部201~201は、秘密情報を格納する(S603~S603)。次に、第二通信部208~208は、秘密情報の格納結果を含むレスポンスと各ゲートウェイ装置の識別情報(A602)を管理サーバ30に送信する。
 次に、管理サーバ30の秘密情報生成部303は、受信したレスポンスを検証し(S604)、各ゲートウェイ装置に対して正しく送付できているか検証する。検証の結果、正しく送付できていないと判断された場合には、該当するゲートウェイ装置に対して、再送を行う。一方、正しく送付できていると判断された場合には、受信したゲートウェイ装置の識別情報をゲートウェイリストとして格納する(S605)。なお、レスポンスを検証するとは、例えば、pingコマンドを実行した場合におけるリプライ応答の有無を検証することである。
 図7は、本発明の第一の実施形態が適用されたインシデント検知システムにおいて、試運転時に各ゲートウェイ装置から正当な通信パケットの経路情報を収集する際の処理フローを示した図である。ここでは制御元となる制御装置10から制御先となる制御装置10に対して制御コマンドを送信するフローを例として示す。
 はじめに、制御装置10の制御処理部101は、制御コマンドを生成する(S701)。次に、通信部102は、生成された制御コマンド(A701)を制御装置10に送信する。
 次に、制御装置10の通信部102に接続されているゲートウェイ装置20の第一通信部205は、制御装置10から送信された制御コマンド(A701)を受信する。次に、ゲートウェイ装置20のID生成部201は、自ゲートウェイ装置であるゲートウェイ装置20の識別情報を生成する(S702)。ここで、識別情報の生成は、予めゲートウェイ装置20に与えられている固定の識別情報と秘密情報格納部207に格納されている秘密情報と時刻情報を組み合わせて、処理を実行する都度生成してもよいし、固定の識別情報と時刻情報を組み合わせて、処理を実行する都度生成してもよい。次に、検知パケット生成部202は、生成されたゲートウェイIDを受信した制御コマンドにその都度付与し、検知パケット(A702)を生成する(S703)。次に、第二通信部208は、生成された検知パケット(A702)を制御装置10に送信する。検知パケットのフォーマットについては以降の図12に記載する。
 次に、制御装置10の通信部102に接続されているゲートウェイ装置20は、制御装置10宛ての検知パケット(A702)を受信する。次に、ゲートウェイ装置20のID生成部201は、自ゲートウェイ装置であるゲートウェイ装置20の識別情報を生成する(S704)。ここで、識別情報は、S702の場合と同様の方法により生成することができる。次に、検知パケット生成部202は、生成されたゲートウェイIDを受信した制御コマンドにその都度付与し、検知パケット(A703)を生成する(S705)。次に、第一通信部205は、生成された検知パケット(A703)を制御装置10に送信する。ここで、検知パケットのフォーマットについては以降の図12に記載する。次に、ログ生成部203は、生成された検知パケットをログ情報として格納し(S706)、第二通信部208は、ログ情報(A704)を管理サーバ30に送信する。ここで、ログ情報のフォーマットについては以降の図14に記載する。
 次に、制御装置10の制御処理部101は、受信した検知パケット(A703)をもとに制御処理を実行する(S707)。
 次に、管理サーバ30の想定経路抽出部306は、受信したログ情報(A704)から、正当な経路情報である想定経路を抽出する(S708)。次に、想定経路抽出部306は、抽出した想定経路に含まれる各ゲートウェイIDを、S605で格納したゲートウェイ装置の識別情報に変換し(S709)、その識別情報に変換した後の経路情報を格納する(S710)。S709における変換は、予め共有している秘密情報とログ情報内の日時情報とゲートウェイ装置の固定の識別情報を参照し、該当するゲートウェイ装置の固定の識別情報を算出すればよい。
 図8は、本発明の第一の実施形態が適用されたインシデント検知システムにおいて、運転時に各ゲートウェイ装置から収集した通信パケットの経路情報から、セキュリティインシデントの例として、不正な通信パケットを検知する処理フローを示した図である。ここでは制御元となる制御装置10から制御先となる制御装置10に対して制御コマンドを送信するフローを例として示す。なお、S801~S807までの各処理は、図7に示したS701~S707までの処理に対して、処理を実行するタイミングが異なること以外は同様に実行される処理であるため、以下ではその説明を省略し、S808以降の各処理について説明する。
また、S806において、ログ情報は毎回送信する必要はなく、ある程度のログ情報が蓄積された後にまとめて管理サーバに送信してもよい。
 S807において制御装置10が、受信した検知パケット(A803)をもとに制御処理を実行すると、次に、管理サーバ30のログ情報収集部304は、受信したログ情報(A804)に送信元のゲートウェイ装置の識別子を付与し、ログ情報を格納する(S808)。送信元のゲートウェイ装置の識別子とは、図8に示す例では、ゲートウェイ装置20の識別子である。送信元のゲートウェイ装置の識別子を付与する理由は、ログ情報が送信されたゲートウェイ装置を把握するためである。次に、インシデント検知部302は、格納されたログ情報をもとにインシデント検知を行う(S809)。ここで、インシデント検知の処理フローについては以降の図9に詳細に記載する。また、インシデント検知は毎回実施する必要はなく、ある程度のログ情報が蓄積された後にまとめてインシデント検知を実施してもよい。
 図9は、本発明の第一の実施形態が適用されたインシデント検知システムにおいて、運転時に管理サーバ内で行うインシデント検知の処理フローを示した図である。
 はじめに、管理サーバ30のインシデント検知部302は、インシデント検知処理を開始する(S901)。次に、インシデント検知部302は、管理サーバ30のログ格納部308に蓄積されているログ情報を取得する(S902)。次に、インシデント検知部302は、管理サーバ30の想定経路格納部307に格納されている想定経路を取得する(S903)。次に、インシデント検知部302は、図7に示したS709の場合と同様に、取得したログ情報内のゲートウェイ装置の識別情報を固定の識別情報に変換する(S904)。次に、インシデント検知部302は、ログ情報と想定経路との比較検証を行う(S905)。ここで、比較検証は、以降の図16に示す想定経路とログ情報が完全に一致するか検証しても良いし、想定経路内の経路情報とログ情報内の経路情報のみが一致するか検証しても良い。検証の結果、全てのパケットの経路情報と想定経路が一致すると判断された場合には、その通信パケットは正当な通信パケットであると判断し、処理を終了する(S907)。一方、インシデント検知部302は、経路情報と想定経路が一致しないパケットが検知された場合には、その通信パケットは想定された通信経路以外の通信経路を経由した不正な通信パケットであると判断し、その旨を示すアラートを生成する(S906)。
 図10は、本発明の第一の実施形態が適用されたインシデント検知システムにおいて、運転後にゲートウェイ装置を新たに追加した場合の処理フローを示した図である。
 はじめに、管理サーバ30の秘密情報生成部303は、秘密情報格納部309に格納されている秘密情報を取得する(S1001)。次に、通信部305は、取得された秘密情報(A1001)を新規ゲートウェイ装置20に対して送信する。
 次に、新規ゲートウェイ装置20のID生成部201は、受信した秘密情報(A1001)を秘密情報格納部206に格納する(S1002)。次に、第二通信部208は、秘密情報の格納結果を含むレスポンスと新規ゲートウェイ装置の識別情報(A1002)を管理サーバ30に送信する。
 次に、管理サーバ30の秘密情報生成部303は、受信したレスポンスを検証し(S1003)、新規ゲートウェイ装置20に対して正しく送付できているか検証する。検証の結果、正しく送付できていないと判断された場合には、該当するゲートウェイ装置に対して、再送を行う。一方、正しく送付できていると判断された場合には、受信した新規ゲートウェイ装置20の識別情報をゲートウェイリストに追加し、ゲートウェイリストを更新する(S1004)。
 図11は、本発明の第一の実施形態が適用されたインシデント検知システムにおいて、運転後にゲートウェイ装置の状態を確認する処理フローを示した図である。ここでは、ゲートウェイ装置20がシステムから除去された場合の例を示す。
 はじめに、管理サーバ30の秘密情報生成部303は、ゲートウェイリストを取得する(S1101)。次に、秘密情報生成部303は、ゲートウェイ装置の状態を確認するコマンド(状態確認コマンド)を生成する(S1102)。次に、通信部305は、生成した状態確認コマンド(A1101)をシステム内の各ゲートウェイ装置20~20に送信する。
 次に、各ゲートウェイ装置20~20のID生成部201~201(ゲートウェイ装置20を除く)は、受信した状態確認コマンド(A1101)をもとに状態情報を生成する(S1103~S1103)。ここで、除去ゲートウェイ装置20のID生成部201は、既にシステムに存在しないため、状態情報を生成しない。次に、各ゲートウェイ装置20~20の第二通信部208~208(ゲートウェイ装置20を除く)は、生成された状態情報(A1102)を管理サーバ30に送信する。なお、状態情報とは、各ゲートウェイ装置が通信可能な状態であるか否かを示す情報であり、例えば、pingコマンドに対するリプライ応答を示す情報である。
 次に、管理サーバ30の秘密情報生成部303は、受信した状態情報(A1102)と各ゲートウェイリストからレスポンスが一定時間内に取得できていない装置の有無を判断する(S1104)。その結果、一定時間内に全てのゲートウェイ装置からレスポンスが返ってきたと判断された場合には処理を終了する(S1105)。一方、一定時間内に全てのゲートウェイ装置からレスポンスが返っていないと判断された場合には、想定経路格納部307に格納されている経路情報からレスポンスを返さないゲートウェイ装置を含むすべての経路情報を削除し(S1106)、上記レスポンスを返さないゲートウェイ装置をゲートウェイリストから削除して、ゲートウェイリストをレスポンスが返ってきた装置群に更新する(S1107)。
 図12は、本発明の第一の実施形態が適用されたインシデント検知システムにおいて、各ゲートウェイ装置20~20が生成する検知パケットの構成を例示する図である。
 検知パケット(A1201)は、ヘッダ(A1202)と、データ(A1203)から構成される。ここで、ヘッダは、送信元の識別情報(A1204)と送信先の識別情報(A1205)と通信プロトコル(A1206)とポート番号(A1207)とパケットの経路情報(A1208)から構成される。ここで、経路情報(A1208)の格納場所は固定でも良いし、パケット毎に変化させても良い。変化させる場合には、管理サーバ30において当該日時において、格納される位置を予め共有しておくか、経路情報の開始点を示す識別情報を規定するなどして、管理サーバ30で経路情報(A1208)の格納位置を認識できるようにすればよい。また、経路情報(A1208)の詳細な構成は以降の図13に記載する。なお、検知パケット(A1201)の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、検知パケット(A1201)の構成要素の順序は上記に限定されるものではない。
 図13は、本発明の第一の実施形態が適用されたインシデント検知システムにおいて、検知パケット(A1201)に含まれる経路情報の構成を例示する図である。
 経路情報(A1301)は、通信パケットが経由したゲートウェイ装置の識別情報(A1302~A1302)から構成される。構成順は通信パケットが経由した順を示す。なお、経路情報(A1301)の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。
 図14は、本発明の第一の実施形態が適用されたインシデント検知システムにおいて、各ゲートウェイ装置20~20が生成するログ情報の構成を例示する図である。
 ログ情報(A1401)は、ログ情報を生成したゲートウェイ装置の識別情報(A1402)とログ情報を生成した日時(A1403)と通信パケットのヘッダ(A1404)から構成される。ここで、ヘッダ(A1404)は、送信元の識別情報(A1405)と送信先の識別情報(A1406)と通信プロトコル(A1407)とポート番号(A1408)とパケットの経路情報(A1409)から構成される。なお、ログ(A1401)の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、ログ情報(A1401)の構成要素の順序は上記に限定されるものではない。
 図15は、本発明の第一の実施形態が適用されたインシデント検知システムにおいて、管理サーバ30に格納されている想定経路の構成を例示する図である。
 想定経路(A1501)は、ログ情報を生成したゲートウェイ装置の識別情報(A1502)と正当な通信パケットの送信元の識別情報(A1503)と送信先の識別情報(A1504)と経由するゲートウェイ装置の数(A1505)と経由ゲートウェイ装置の識別情報(A1506)から構成される。ここで、経由ゲートウェイ装置の識別情報(A1506)は、正当な通信パケットが経由したゲートウェイ装置の識別情報(A1507~A1507)が経由した順で構成される。なお、想定経路(A1501)の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、想定経路(A1501)の構成要素の順序は経由ゲートウェイ装置の識別情報を除いて上記に限定されるものではない。
 図16は、本発明の第一の実施形態が適用されたインシデント検知システムにおいて、管理サーバ30に格納されているゲートウェイリストの構成を例示する図である。
 ゲートウェイリスト(A1601)は、ゲートウェイ装置の識別情報(A1602)と、IPアドレス(A1603)から構成される。なお、ゲートウェイリスト(A1601)の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、ゲートウェイリスト(A1601)の構成要素の順序は上記に限定されるものではない。
 図17は、本発明の第二の実施形態が適用されたインシデント検知システムの構成図である。
 本実施形態のインシデント検知システムは、図17に例示するように、制御装置10~10と、ゲートウェイ装置20~20と、ネットワーク40と、から構成されている。
 制御装置10~10の構成要素は図1と同様である。ゲートウェイ装置20~20の構成要素は、図1で示した構成要素に加えて、収集したログ情報からインシデントを検知するインシデント検知部209~209と、収集したログ情報から想定経路を抽出する想定経路抽出部210~210と、抽出した想定経路を格納する想定経路格納部211~211と、を含む。本実施形態において秘密情報を生成する場合には、第一の実施形態における秘密情報生成部と同様の機能をID生成部に含ませてもよい。 本実施形態のインシデント検知システムにおける処理フローについて説明する。以下に述べる処理フローは、制御装置10~10やゲートウェイ装置20~20の記憶装置に格納されたプログラムがメモリにロードされ、CPUにより実行されることにより、インシデント検知システムを構成する装置上に具現化される各処理部により実行されるものである。また、各プログラムは予め記憶装置に格納されても良いし、他の記憶媒体または通信媒体(ネットワークまたはネットワークを伝搬する搬送波)を介して、必要なときに導入されても良い。
 図18は、本発明の第二の実施形態が適用されたインシデント検知システムにおいて、試運転や運転時にシステム内で実施する処理フローを示した図である。
 はじめに、試運転時に各ゲートウェイ装置20~20のモード変更部204~204は、動作モードを経路収集モードに設定する(S1801~S1801)。
 次に、ゲートウェイ装置20~20間で、想定経路抽出部210~210は、経路収集処理を実施する(S1802)。経路収集処理の詳細については、以降の図19に記載する。
 次に、経路収集処理が終了後、運転時に各ゲートウェイ装置20~20のモード変更部204~204は、動作モードを検知モードに設定する(S1803~S1803)。
 次に、ゲートウェイ装置20~20間で、インシデント検知部209~209は、検知処理を実施する(S1804)。検知処理の詳細については、以降の図20に記載する。
 図19は、本発明の第二の実施形態が適用されたインシデント検知システムにおいて、試運転時に各ゲートウェイ装置において正当な通信パケットの経路情報を収集する際の処理フローを示した図である。ここでは制御元となる制御装置10から制御先となる制御装置10に対して制御コマンドを送信するフローを例として示す。
 はじめに、制御装置10の制御処理部101は、制御コマンドを生成する(S1901)。次に、通信部102は、生成された制御コマンド(A1901)をゲートウェイ装置20に送信する。
 次に、制御装置10の通信部102に接続されているゲートウェイ装置20の第一通信部205は、制御装置10から送信された制御コマンド(A1901)を受信する。次に、ゲートウェイ装置20のID生成部201は、自ゲートウェイ装置であるゲートウェイ装置20の識別情報を生成する(S1902)。ここで、識別情報の生成は、S702の場合と同様の方法により生成することができる。次に、検知パケット生成部202は、生成されたゲートウェイIDを受信した制御コマンドにその都度付与し、図12に示した検知パケット(A1902)を生成する(S1903)。次に、第二通信部208は、生成された検知パケット(A1902)をゲートウェイ装置20に送信する。
 次に、制御装置10の通信部102に接続されているゲートウェイ装置20の第二通信部208は、制御装置10宛ての検知パケット(A1902)を受信する。次に、ゲートウェイ装置20のID生成部201は、自ゲートウェイ装置であるゲートウェイ装置202の識別情報を生成する(S1904)。ここで、識別情報は、S702の場合と同様の方法により生成することができる。次に、検知パケット生成部202は、生成されたゲートウェイIDを受信した制御コマンドにその都度付与し、図12に示した検知パケット(A1903)を生成する(S1905)。次に、第一通信部205は、生成した検知パケット(A1903)を制御装置10に送信する。次に、ログ生成部203は、生成された検知パケットをログ情報として格納する(S1906)。次に、想定経路抽出部210は、ログ情報から、正当な経路情報である想定経路を抽出する(S1907)。次に、抽出した想定経路を格納する(S1908)。
 次に、制御装置10の制御処理部101は、受信した検知パケット(A1903)をもとに制御処理を実行する(S1909)。
 図20は、本発明の第二の実施形態が適用されたインシデント検知システムにおいて、運転時に各ゲートウェイ装置において、セキュリティインシデントの例として、不正な通信パケットを検知する処理フローを示した図である。ここでは制御元となる制御装置10から制御先となる制御装置10に対して制御コマンドを送信するフローを例として示す。なお、S2001~S2005までの各処理は、図19に示したS1901~S1905までの処理に対して、処理を実行するタイミングが異なること以外は同様に実行される処理であるため、以下ではその説明を省略し、S2005以降の各処理について説明する。
 S2005において、生成されたゲートウェイIDを受信した制御コマンドにその都度付与され、図12に示した検知パケット(A2003)が生成されると、次に、ログ生成部203は、その検知パケットをログ情報として格納する(S2006)。次に、インシデント検知部209は、格納されたログ情報をもとに図9で示したインシデント検知を行い、インシデントの検知によりアラートが生成されている場合にはそのアラートを、ゲートウェイ装置20に接続されたディスプレイ等の表示装置に出力し、アラートが生成されていない場合は検知パケット(A2003)を制御装置10に送信する(S2007)。このとき、アラートが生成されている場合には、不正な通信による本システムへの影響を考慮し、検知パケットを破棄して処理を終了させてもよい。
 次に、制御装置10の制御処理部101は、受信した検知パケット(A2003)をもとに制御処理を実行する(S2008)。
 これらの構成、手順およびデータ構造を実現することにより、制御装置に処理負荷を掛けずに、不正な通信を検知することが可能となる。すなわち、システム内に通過するパケットに対して通信経路情報を付与するゲートウェイを設置し、正当な経路情報と通信パケットの経路情報を比較することにより不正な通信パケットを検知することができる。具体的には、システム内のゲートウェイ装置において、通過する通信パケットに、通過したゲートウェイの識別情報を順次追加し、各ゲートウェイ装置にログ情報として蓄積し、蓄積したログ情報は管理サーバあるいはゲートウェイ装置に集約し、予め試運転時に収集していた正当なパケットの経路情報と蓄積したログ情報内の経路情報を比較することにより、不正な通信経路のパケットを検知することができる。
 なお、本発明は、上記の実施形態に限定されるものではなく、その要旨の範囲内で様々な変形が可能である。
 たとえば、制御装置内にゲートウェイ装置の機能が含まれている場合や、制御装置やゲートウェイ装置にネットワークとの通信機能が含まれておらず、別の装置を経由してネットワークと通信を行うことも可能である。該実施形態の場合においてもシステム全体において行う処理においても同様の機能を実現することができる。例えば、第二の実施形態において、1つのゲートウェイ装置をマスタ装置として第一の実施形態における管理サーバ30と同様に機能させ、図6に示した初期化処理を実行した上で経路収集処理や検知処理を実行してもよい。
 10~10:制御装置、11:通信装置、12:入出力装置、13:記憶装置、14:CPU、15:メモリ、16:内部信号線、101~101:制御処理部、102~102:通信部、20~20:ゲートウェイ装置、21:第一通信装置、22:入出力装置、23:記憶装置、24:第二通信装置、25:CPU、26:メモリ、27:内部信号線、201~201:ID生成部、202~202:検知パケット生成部、203~203:ログ生成部、204~204:モード変更部、205~205:第一通信部、206~206:ログ格納部、207~207:秘密情報格納部、208~208:第二通信部、209~209:インシデント検知部、210~210:想定経路抽出部、211~211:想定経路格納部、30:管理サーバ、31:通信装置、32:入出力装置、33:記憶装置、34:CPU、35:メモリ、36:読取装置、37:記憶媒体、38:内部信号線、301:モード変更部、302:インシデント検知部、303:秘密情報生成部、304:ログ収集部、305:通信部、306:想定経路抽出部、307:想定経路格納部、308:統合ログ格納部、309:秘密情報格納部、310:ゲートウェイリスト格納部、40:ネットワーク、A501:初期化モード通知、A601:秘密情報、A602:レスポンス、ゲートウェイ装置ID、A701:制御コマンド、A702:検知パケット、A703:検知パケット、A704:ログ情報、A801:制御コマンド、A802:検知パケット、A803:検知パケット、A804:ログ情報、A1001:秘密情報、A1002:レスポンス、ゲートウェイ装置ID、A1101:状態確認コマンド、A1102:状態、A1201:検知パケット、A1202:ヘッダ、A1203:データ、A1204:送信元、A1205:送信先、A1206:プロトコル、A1207:ポート番号、A1208:経路情報、A1301:経路情報、A1302~A1302:ゲートウェイID、A1401:ログ、A1402:日時、A1403:ヘッダ、A1404:送信元、A1405:送信先、A1406:プロトコル、A1407:ポート番号、A1408:経路情報、A1501:統合ログ、A1502:ゲートウェイID、A1503:日時、A1504:ヘッダ、A1505:送信元、A1506:送信先、A1507:プロトコル、A1508:ポート番号、A1509:経路情報、A1601:想定経路、A1602:送信元、A1603:送信先、A1604:経由ゲートウェイ数、A1605:経由ゲートウェイID、A1606~A1606:ゲートウェイID、A1701:ゲートウェイリスト、A1702:ゲートウェイID、A1703:IPアドレス、A2001:制御コマンド、A2002:検知パケット、A2003:検知パケット、A2101:制御コマンド、A2102:検知パケット、A2103:検知パケット。

Claims (14)

  1.  セキュリティインシデントを検知するインシデント検知システムであって、
     ゲートウェイ装置は、
     自ゲートウェイ装置の識別情報を生成するID生成部と、
     制御装置から送信された制御情報と、通信パケットに前記自ゲートウェイ装置の識別情報を付与した経路情報と、を含む検知パケットを生成する検知パケット生成部と、
     前記検知パケットを含むログ情報を生成するログ生成部と、
     前記ゲートウェイ装置にネットワークで接続された管理サーバに前記ログ情報を送信し、または前記制御情報に基づいて制御される制御装置に前記検知パケットを送信する装置通信部と、を備え、
     前記管理サーバは、
     前記ゲートウェイ装置から前記ログ情報を受信するサーバ通信部と、
     前記ログ情報から前記経路情報を抽出した想定経路情報をあらかじめ記憶部に記憶する通信経路抽出部と、
     前記記憶部に記憶されている前記想定経路情報と、前記ログ情報に含まれる前記経路情報とに基づいて、不正な通信パケットを検知するインシデント検知部と、
     を備えることを特徴とするインシデント検知システム。
  2.  請求項1に記載のインシデント検知システムであって、
     前記ゲートウェイ装置は、
     さらに、秘密情報を格納する秘密情報格納部を備え、
     前記ID生成部は、前記ゲートウェイ装置に固有の識別情報と前記秘密情報とに基づいて、前記自ゲートウェイ装置の識別情報を生成する、
     ことを特徴とするインシデント検知システム。
  3.  請求項2に記載のインシデント検知システムであって、
     前記ゲートウェイ装置は、
     さらに、前記ゲートウェイ装置の動作モードを、処理の事前準備をするモードである初期化モード、前記想定経路情報を収集するための経路収集モード、前記経路情報を検知するモードである検知モード、のいずれかのモードにする装置モード変更部を備え、
     前記管理サーバは、
     さらに、前記管理サーバの動作モードを、前記初期化モードと、前記経路収集モードと、前記検知モードと、のいずれかのモードにするサーバモード変更部と、前記秘密情報を生成する秘密情報生成部とを備え、
     前記ID生成部は、前記管理サーバから受信した前記秘密情報を前記秘密情報格納部に格納し、
     前記秘密情報生成部は、前記ゲートウェイ装置および前記管理サーバが前記初期化モードの場合に前記秘密情報を生成し、前記サーバ通信部は、生成された前記秘密情報を前記ゲートウェイ装置に送信し、
     前記通信経路抽出部は、前記ゲートウェイ装置および前記管理サーバが前記経路収集モードの場合に前記想定経路情報を抽出し、
     前記インシデント検知部は、前記ゲートウェイ装置および前記管理サーバが前記検知モードの場合に前記不正な通信パケットを検知する、
     ことを特徴とするインシデント検知システム。
  4.  請求項2に記載のインシデント検知システムであって、
     前記管理サーバは、
     さらに、前記ゲートウェイ装置のリストを格納するゲートウェイリスト格納部を備え、
     前記秘密情報生成部は、新たなゲートウェイ装置が追加された場合に、前記新たなゲートウェイ装置に前記秘密情報を送信し、前記新たなゲートウェイ装置の識別情報を前記リストに追加する、
     ことを特徴とするインシデント検知システム。
  5.  請求項3に記載のインシデント検知システムであって、
     前記秘密情報生成部は、前記ゲートウェイ装置の状態を確認するため状態確認コマンドに対する応答情報に基づいて、前記インシデント検知システムから取り外されたゲートウェイ装置を認識し、前記想定経路情報から前記取り外されたゲートウェイ装置の識別情報が含まれている想定経路情報を削除し、前記ゲートウェイリストから前記取り外されたゲートウェイ装置の識別情報を削除する、
     ことを特徴とするインシデント検知システム。
  6.  請求項1に記載のインシデント検知システムであって、
     前記検知パケットは、ヘッダ部とデータ部とを有し、
     前記検知パケット生成部は、前記ヘッダ部に前記経路情報を含めて前記検知パケットを生成する、
     ことを特徴とするインシデント検知システム。
  7.  請求項1に記載のインシデント検知システムであって、
     前記検知パケット生成部は、前記通信パケットが通過する都度、前記ゲートウェイ装置の通過順に、前記自ゲートウェイ装置の識別情報を前記経路情報に付与する、
     ことを特徴とするインシデント検知システム。
  8.  請求項1に記載のインシデント検知システムであって、
     前記通信経路抽出部は、前記正当な通信パケットが経由するゲートウェイ装置の識別情報から前記想定経路情報を構成する、
     ことを特徴とするインシデント検知システム。
  9.  請求項1に記載のインシデント検知システムであって、
     前記通信経路抽出部は、前記インシデント検知システムの運用開始前に、前記想定経路情報を前記記憶部に記憶し、
     前記インシデント検知部は、前記インシデント検知システムの運用開始後に、前記想定経路情報と、前記経路情報とに基づいて、不正な通信パケットを検知する、
     ことを特徴とするインシデント検知システム。
  10.  セキュリティインシデントを検知するインシデント検知システムであって、
     第1のゲートウェイ装置は、
     自ゲートウェイ装置の識別情報を生成するID生成部と、
     制御装置から送信された制御情報と、通信パケットに前記自ゲートウェイ装置の識別情報を付与した経路情報と、を含む検知パケットを生成する検知パケット生成部と、
     前記第1のゲートウェイ装置にネットワークで接続された第2のゲートウェイ装置に前記検知パケットを送信する第1の装置通信部と、を備え、
     前記第2のゲートウェイ装置は、
     前記第1のゲートウェイ装置から前記検知パケットを受信し、または前記制御情報に基づいて制御される制御装置に前記検知パケットを送信する第2の装置通信部と、
     前記検知パケットをログ情報として記憶部に格納するログ生成部と、
     前記ログ情報から前記経路情報を抽出した想定経路情報をあらかじめ記憶部に記憶する通信経路抽出部と、
     前記記憶部に記憶されている前記想定経路情報と、前記ログ情報に含まれる前記経路情報とに基づいて、不正な通信パケットを検知するインシデント検知部と、
     を備えることを特徴とするインシデント検知システム。
  11.  請求項10に記載のインシデント検知システムであって、
     前記第1のゲートウェイ装置は、
     さらに、秘密情報を格納する秘密情報格納部を備え、
     前記ID生成部は、前記第1のゲートウェイ装置に固有の識別情報と前記秘密情報とに基づいて、前記自ゲートウェイ装置の識別情報を生成する、
     ことを特徴とするインシデント検知システム。
  12.  請求項11に記載のインシデント検知システムであって、
     前記第1のゲートウェイ装置は、
     さらに、前記第1のゲートウェイ装置の動作モードを、前記想定経路情報を収集するための経路収集モード、前記経路情報を検知するモードである検知モード、のいずれかのモードにする第1の装置モード変更部を備え、
     前記第2のゲートウェイ装置は、
     さらに、前記第1のゲートウェイ装置の動作モードを、前記経路収集モードと、前記検知モードと、のいずれかのモードにする第2の装置モード変更部とを備え、
     前記通信経路抽出部は、前記ゲートウェイ装置および前記管理サーバが前記経路収集モードの場合に前記想定経路情報を抽出し、
     前記インシデント検知部は、前記ゲートウェイ装置および前記管理サーバが前記検知モードの場合に前記不正な通信パケットを検知する、
     ことを特徴とするインシデント検知システム。
  13.  請求項10に記載のインシデント検知システムであって、
     前記インシデント検知部は、前記セキュリティインシデントを検知したか否かを判定し、前記セキュリティインシデントを検知したと判定した場合、前記検知パケットを破棄する、
     ことを特徴とするインシデント検知システム。
  14.  請求項10に記載のインシデント検知システムであって、
     前記通信経路抽出部は、前記インシデント検知システムの運用開始前に、前記想定経路情報を前記記憶部に記憶し、
     前記インシデント検知部は、前記インシデント検知システムの運用開始後に、前記想定経路情報と、前記経路情報とに基づいて、不正な通信パケットを検知する、
     ことを特徴とするインシデント検知システム。
PCT/JP2015/086065 2015-03-12 2015-12-24 インシデント検知システム WO2016143231A1 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US15/547,905 US10348746B2 (en) 2015-03-12 2015-12-24 Incident detection system including gateway device and server

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2015049851A JP6310874B2 (ja) 2015-03-12 2015-03-12 インシデント検知システム
JP2015-049851 2015-03-12

Publications (1)

Publication Number Publication Date
WO2016143231A1 true WO2016143231A1 (ja) 2016-09-15

Family

ID=56879315

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2015/086065 WO2016143231A1 (ja) 2015-03-12 2015-12-24 インシデント検知システム

Country Status (3)

Country Link
US (1) US10348746B2 (ja)
JP (1) JP6310874B2 (ja)
WO (1) WO2016143231A1 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6769270B2 (ja) * 2016-12-02 2020-10-14 株式会社デンソー 車載電子制御装置、車載電子制御システム、中継装置
JP6869869B2 (ja) * 2017-10-26 2021-05-12 株式会社日立製作所 制御システムのための対策立案システムおよび監視装置
CA3100337A1 (en) * 2018-01-17 2019-07-25 Byos Inc. Device and method for securing a network connection
US20190363925A1 (en) * 2018-05-22 2019-11-28 Critical Start, Inc. Cybersecurity Alert Management System

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04235652A (ja) * 1991-01-11 1992-08-24 Nippon Telegr & Teleph Corp <Ntt> 電子計算機アクセス方法
JP2003229913A (ja) * 2002-02-04 2003-08-15 Hitachi Ltd ネットワーク接続システム、ネットワーク接続方法、および、それらに用いられるネットワーク接続装置
JP2006100874A (ja) * 2004-09-28 2006-04-13 Nippon Telegr & Teleph Corp <Ntt> アプリケーション型サービス不能攻撃に対する防御方法およびエッジ・ルータ
JP2007131029A (ja) * 2005-11-08 2007-05-31 Yokohama Rubber Co Ltd:The 車両監視システム
JP2008099156A (ja) * 2006-10-16 2008-04-24 Hitachi Ltd 情報漏洩防止システム
JP2012034129A (ja) * 2010-07-29 2012-02-16 Pfu Ltd 管理サーバ、通信遮断装置、情報処理システム、方法およびプログラム
JP2012034273A (ja) * 2010-08-02 2012-02-16 Yokogawa Electric Corp 不正通信検出システム

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8307422B2 (en) * 2008-08-14 2012-11-06 Juniper Networks, Inc. Routing device having integrated MPLS-aware firewall

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04235652A (ja) * 1991-01-11 1992-08-24 Nippon Telegr & Teleph Corp <Ntt> 電子計算機アクセス方法
JP2003229913A (ja) * 2002-02-04 2003-08-15 Hitachi Ltd ネットワーク接続システム、ネットワーク接続方法、および、それらに用いられるネットワーク接続装置
JP2006100874A (ja) * 2004-09-28 2006-04-13 Nippon Telegr & Teleph Corp <Ntt> アプリケーション型サービス不能攻撃に対する防御方法およびエッジ・ルータ
JP2007131029A (ja) * 2005-11-08 2007-05-31 Yokohama Rubber Co Ltd:The 車両監視システム
JP2008099156A (ja) * 2006-10-16 2008-04-24 Hitachi Ltd 情報漏洩防止システム
JP2012034129A (ja) * 2010-07-29 2012-02-16 Pfu Ltd 管理サーバ、通信遮断装置、情報処理システム、方法およびプログラム
JP2012034273A (ja) * 2010-08-02 2012-02-16 Yokogawa Electric Corp 不正通信検出システム

Also Published As

Publication number Publication date
US20180026998A1 (en) 2018-01-25
JP6310874B2 (ja) 2018-04-11
JP2016171453A (ja) 2016-09-23
US10348746B2 (en) 2019-07-09

Similar Documents

Publication Publication Date Title
CN108347331B (zh) 车联网系统中T_Box设备与ECU设备进行安全通信的方法与设备
CN108965215B (zh) 一种多融合联动响应的动态安全方法与系统
Larson et al. An approach to specification-based attack detection for in-vehicle networks
WO2016143231A1 (ja) インシデント検知システム
CN105917629B (zh) 通过鉴权的时间测量的安全的网络接入保护
CN107710676B (zh) 网关装置及其控制方法
EP3506553A1 (en) Vehicle information collection system, vehicle-mounted computer, vehicle information collection device, vehicle information collection method, and computer program
CN104025506A (zh) 通信系统中的消息认证方法及通信系统
CN109413201A (zh) Ssl通信方法、装置及存储介质
CN105323302A (zh) 为车辆诊断数据建立安全的通信
CN109359464B (zh) 一种基于区块链技术的无线安全认证方法
WO2018017566A1 (en) Hash-chain based sender identification scheme
JP5398404B2 (ja) 通信遮断装置、サーバ装置、方法およびプログラム
US8798063B2 (en) Information processing apparatus and information processing method
US10726161B2 (en) Information processing device and malicious message detection method
CN101637004A (zh) 用于通信系统中的前缀可达性的方法
CN104994085A (zh) 一种无线传感器网络中身份认证方法及系统
JP2016134834A (ja) 車載ゲートウェイ装置及び車載ネットワークシステム
Oberti et al. Taurum p2t: Advanced secure can-fd architecture for road vehicle
JP5772674B2 (ja) 個人認証機能を有する無線中継システム
JP6890073B2 (ja) 情報収集装置、情報収集システム
Murvay et al. A brief look at the security of DeviceNet communication in industrial control systems
JP6396831B2 (ja) 暗号通信システム、暗号通信方法、暗号通信装置及び暗号通信装置登録サーバ
JP6247060B2 (ja) セッション管理システムおよび方法
GB2570292A (en) Data protection

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 15884715

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 15547905

Country of ref document: US

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 15884715

Country of ref document: EP

Kind code of ref document: A1