WO2019142264A1

WO2019142264A1 - 攻撃検知装置、攻撃検知方法および攻撃検知プログラム

Info

Publication number: WO2019142264A1
Application number: PCT/JP2018/001223
Authority: WO
Inventors: 綱人中井; 幸宏市川
Original assignee: 三菱電機株式会社
Priority date: 2018-01-17
Filing date: 2018-01-17
Publication date: 2019-07-25
Also published as: CN111566643A; CN111566643B; KR20200088492A; EP3731122B1; JP6749508B2; EP3731122A1; EP3731122A4; US20200279174A1; JPWO2019142264A1; KR102253213B1

Abstract

モデル生成部（１１２）は、監視対象を計測して得られた複数の計測値に基づいて、監視対象の状態別の計測値を示す状態モデルを生成する。統合部（１１４）は、複数の計測値が得られた時間帯に監視対象によって通信された複数の通信データに基づいて、監視対象の状態別の通信情報を示す検知ルールを生成する。攻撃検知部（１１５）は、状態モデルと検知ルールとを用いて、新たな通信データが攻撃データであるか判定する。

Description

攻撃検知装置、攻撃検知方法および攻撃検知プログラム

　本発明は、サイバー攻撃を検知する技術に関するものである。

　近年、制御システムがネットワークに接続されるケースが増大している。そして、制御システムがサイバー攻撃の標的になるケースが増加している。
　そこで、サイバー攻撃による攻撃を検知するために、監視制御装置などの装置に攻撃検知機能を搭載することが検討されている。

　従来の攻撃検知機能は、制御システムのネットワーク通信が固定的であることを利用して検知ルールが定義される、検知ルールには、送信先アドレスと送信元アドレスとの組およびプロトコル等、許可される通信の情報が記載される。
　また、正常な通信の組み合わせによる攻撃および運転員の不正操作による攻撃の対策として、システム状態に着目した検知システムが開発されている。

　特許文献１では、システム状態を通知するパケットによってシステム状態に対応した正常な通信パターンを確認することが提案されている。

国際公開２０１４／１５５６５０号

　特許文献１の提案では、サーバ装置およびコントローラから状態通知パケットが送信され、システム状態が把握される。そして、システム状態に応じた通信パターンに基づいて侵入および攻撃が検知される。
　つまり、状態通知パケットを送信する機能をサーバ装置およびコントローラに組み込む要がある。
　そのため、特許文献１で提案されている技術の導入は、システム全体で機能の追加または改修が必要であるという点で困難である。

　本発明は、状態の通知を受けなくてもサイバー攻撃を検知できるようにすることを目的とする。

　本発明の攻撃検知装置は、
　監視対象を計測して得られた複数の計測値に基づいて、前記監視対象の状態別の計測値を示す状態モデルを生成するモデル生成部と、
　前記複数の計測値が得られた時間帯に前記監視対象によって通信された複数の通信データに基づいて、前記監視対象の状態別の通信情報を示す検知ルールを生成するルール生成部と、
　前記状態モデルと前記検知ルールとを用いて、新たな通信データが攻撃データであるか判定する攻撃検知部とを備える。

　本発明によれば、状態モデルが生成されるため、状態の通知を受けなくてもサイバー攻撃を検知することができる。

実施の形態１における監視制御システム２００の構成図。実施の形態１における監視制御システム２００の具体例を示す図。実施の形態１における監視制御装置１００の構成図。実施の形態１における記憶部１２１を示す図。実施の形態１における監視制御方法（入力）のフローチャート。実施の形態１における監視制御方法（受信）のフローチャート。実施の形態１における攻撃検知方法のフローチャート。実施の形態１における生成処理（Ｓ２１０）のフローチャート。実施の形態１におけるプロットグラフ１４１の一例を示す図。実施の形態１における線形モデル１４２の一例を示す図。実施の形態１における状態モデル１３４の一例を示す図。実施の形態１における検知ルール１３５の一例を示す図。実施の形態１における検知ルール１３５の一例を示す図。実施の形態１における検知ルール１３５の一例を示す図。実施の形態１における状態モデル１３４の一例を示す図。実施の形態１における攻撃検知処理（Ｓ２３０）のフローチャート。実施の形態２における攻撃検知方法のフローチャート。実施の形態２における生成処理（Ｓ３００）のフローチャート。実施の形態２における通信情報リスト１３６の一例を示す図。実施の形態２における検知ルール生成処理（Ｓ３２０）のフローチャート。実施の形態における監視制御装置１００のハードウェア構成図。

　実施の形態および図面において、同じ要素および対応する要素には同じ符号を付している。同じ符号が付された要素の説明は適宜に省略または簡略化する。図中の矢印はデータの流れ又は処理の流れを主に示している。

　実施の形態１．
　サイバー攻撃を検知する形態について、図１から図１６に基づいて説明する。

＊＊＊構成の説明＊＊＊
　図１に基づいて、監視制御システム２００の構成を説明する。
　監視制御システム２００は、監視対象２０２の監視および監視対象２０２の制御を行うシステムである。

　監視制御システム２００は、監視制御装置１００と監視対象２０２とを備える。
　監視制御装置１００と監視対象２０２とはネットワーク２０１を介して互いに通信を行う。
　具体的には、監視制御装置１００は、監視対象２０２を制御するための制御値を監視対象２０２へ送信する。監視対象２０２は制御値に従って動作する。監視対象２０２には複数のセンサが取り付けられ、複数のセンサによって各種の計測が行われる。そして、監視対象２０２は、各種の計測によって得られた各種の計測値を監視制御装置１００へ送信する。

　監視対象２０２の具体例はプラント２１０である。
　図２に基づいて、監視対象２０２がプラント２１０である場合の監視制御システム２００の構成を説明する。
　図２において、監視制御システム２００は、監視制御装置１００とプラント２１０とを備える。
　監視制御装置１００は情報系ネットワーク２２１と制御系ネットワーク２２２とに接続され、プラント２１０は制御系ネットワーク２２２に接続される。
　情報系ネットワーク２２１は、オフィス内で利用されるネットワークである。
　制御系ネットワーク２２２は、制御値および計測値が通信されるネットワークである。

　プラント２１０は、コントローラ２１１とフィールドネットワーク２１２とフィールドデバイス２１３とを備える。
　フィールドネットワーク２１２は、コントローラ２１１とフィールドデバイス２１３との間で制御値および計測値を通信するためのネットワークである。

　図１に戻り、監視制御システム２００の説明を続ける。
　監視制御装置１００は、監視制御システム２００に対する攻撃を検知する機能を有する。つまり、監視制御装置１００は、さらに、攻撃検知装置として機能する。そして、監視制御システム２００は、さらに、攻撃検知システムとして機能する。

　図３に基づいて、監視制御装置１００の構成を説明する。
　監視制御装置１００は、プロセッサ１０１とメモリ１０２と補助記憶装置１０３と通信装置１０４と入出力インタフェース１０５といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。

　プロセッサ１０１は、演算処理を行うＩＣ（Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）であり、他のハードウェアを制御する。例えば、プロセッサ１０１は、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）、ＤＳＰ（Ｄｉｇｉｔａｌ　Ｓｉｇｎａｌ　Ｐｒｏｃｅｓｓｏｒ）、またはＧＰＵ（Ｇｒａｐｈｉｃｓ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）である。
　メモリ１０２は揮発性の記憶装置である。メモリ１０２は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ１０２はＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）である。メモリ１０２に記憶されたデータは必要に応じて補助記憶装置１０３に保存される。
　補助記憶装置１０３は不揮発性の記憶装置である。例えば、補助記憶装置１０３は、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）、ＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）、またはフラッシュメモリである。補助記憶装置１０３に記憶されたデータは必要に応じてメモリ１０２にロードされる。
　通信装置１０４はレシーバ及びトランスミッタである。例えば、通信装置１０４は通信チップまたはＮＩＣ（Ｎｅｔｗｏｒｋ　Ｉｎｔｅｒｆａｃｅ　Ｃａｒｄ）である。
　入出力インタフェース１０５は入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース１０５はＵＳＢ端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。ＵＳＢはＵｎｉｖｅｒｓａｌ　Ｓｅｒｉａｌ　Ｂｕｓの略称である。

　監視制御装置１００は、データ管理部１１１とモデル生成部１１２とルール生成部１１３と統合部１１４と攻撃検知部１１５と警告部１１６といった要素を備える。これらの要素はソフトウェアで実現される。

　補助記憶装置１０３には、データ管理部１１１としてコンピュータを機能させるための監視制御プログラムが記憶されている。
　さらに、補助記憶装置１０３には、モデル生成部１１２とルール生成部１１３と統合部１１４と攻撃検知部１１５と警告部１１６としてコンピュータを機能させるための攻撃検知プログラムが記憶されている。
　監視制御プログラムおよび攻撃検知プログラムは、メモリ１０２にロードされて、プロセッサ１０１によって実行される。
　さらに、補助記憶装置１０３にはＯＳ（Ｏｐｅｒａｔｉｎｇ　Ｓｙｓｔｅｍ）が記憶されている。ＯＳの少なくとも一部は、メモリ１０２にロードされて、プロセッサ１０１によって実行される。
　つまり、プロセッサ１０１は、ＯＳを実行しながら、監視制御プログラムと攻撃検知プログラムとを実行する。
　監視制御プログラムまたは攻撃検知プログラムを実行して得られるデータは、メモリ１０２、補助記憶装置１０３、プロセッサ１０１内のレジスタまたはプロセッサ１０１内のキャッシュメモリといった記憶装置に記憶される。

　メモリ１０２は記憶部１２１として機能する。但し、他の記憶装置が、メモリ１０２の代わりに、又は、メモリ１０２と共に、記憶部１２１として機能してもよい。
　通信装置１０４は通信部１２２として機能する。
　入出力インタフェース１０５は受付部１２３と表示部１２４として機能する。
　記憶部１２１、通信部１２２、受付部１２３および表示部１２４は、監視制御プログラムおよび攻撃検知プログラムによって制御される。つまり、監視制御プログラムと攻撃検知プログラムとのそれぞれは、さらに、記憶部１２１と通信部１２２と受付部１２３と表示部１２４としてコンピュータを機能させる。

　監視制御装置１００は、プロセッサ１０１を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ１０１の役割を分担する。

　監視制御プログラムおよび攻撃検知プログラムは、光ディスクまたはフラッシュメモリ等の不揮発性の記録媒体にコンピュータで読み取り可能に記録（格納）することができる。

　図４に基づいて、記憶部１２１に記憶される主なデータを説明する。
　記憶部１２１には、主に、制御データ１３１と計測データ１３２と通信データ１３３と状態モデル１３４と検知ルール１３５とが記憶される。
　制御データ１３１は、制御値を含んだデータである。
　計測データ１３２は、計測値を含んだデータである。
　通信データ１３３は、監視対象２０２によって通信されたデータである。
　状態モデル１３４および検知ルール１３５は、攻撃データを検知するために用いられる。攻撃データは、監視制御システム２００を攻撃するための通信データ１３３である。

＊＊＊動作の説明＊＊＊
　監視制御装置１００の動作は監視制御方法と攻撃検知方法とに相当する。また、監視制御方法の手順は監視制御プログラムの手順に相当し、攻撃検知方法の手順は攻撃検知プログラムの手順に相当する。

　図５に基づいて、監視制御方法（入力）を説明する。
　監視制御方法（入力）は、監視制御装置１００に操作入力データが入力された場合の手順である。

　操作入力データは、制御種類と制御値とを含む。
　制御種類は、監視対象２０２に対する制御の種類である。プラント２１０に対する制御種類の一例は、圧力およびバルブ開閉である。
　制御値は、監視対象２０２に対する制御の目標値である。プラント２１０に対する制御値の一例は、圧力の目標値およびバルブ開度の目標値である。

　ステップＳ１０１において、受付部１２３は、監視制御装置１００に入力された操作入力データを受け付ける。

　ステップＳ１０２において、データ管理部１１１は、操作入力データに基づいて制御データ１３１を生成し、生成した制御データ１３１を記憶部１２１に記憶する。
　制御データ１３１は、制御種類と制御値と時刻とを含む。

　ステップＳ１０３において、データ管理部１１１は、制御値を含んだ通信データ１３３を生成する。そして、通信部１２２は、通信データ１３３を監視対象２０２へ送信する。
　また、データ管理部１１１は、生成した通信データ１３３を記憶部１２１に記憶する。

　図５の監視制御方法（入力）は、監視制御装置１００に操作入力データが入力される毎に実行される。

　図６に基づいて、監視制御方法（受信）を説明する。
　監視制御方法（受信）は、監視対象２０２から監視制御装置１００に通信データ１３３が到達した場合の手順である。

　監視対象２０２からの通信データ１３３は計測種類と計測値とを含む。
　計測種類は、監視対象２０２に対する計測の種類である。プラント２１０に対する計測種類の一例は、圧力およびバルブ開閉である。
　計測値は、監視対象２０２を計測して得られた値である。プラント２１０における計測値の一例は、圧力およびバルブ開度である。

　ステップＳ１１１において、通信部１２２は、監視制御装置１００に到達した通信データ１３３を受信する。

　ステップＳ１１２において、データ管理部１１１は、通信データ１３３を記憶部１２１に記憶する。

　ステップＳ１１３において、データ管理部１１１は、通信データ１３３に基づいて計測データ１３２を生成し、生成した計測データ１３２を記憶部１２１に記憶する。
　計測データ１３２は、計測種類と計測値と時刻とを含む。

　図６の監視制御方法（受信）は、監視対象２０２から監視制御装置１００に通信データ１３３が到達する毎に実行される。

　監視制御方法（表示）を説明する。
　監視制御方法（表示）において、データ管理部１１１は、制御データ１３１と計測データ１３２とを記憶部１２１から読み出し、制御データ１３１と計測データ１３２とを表示部１２４に入力する。そして、表示部１２４は、制御データ１３１と計測データ１３２とをディスプレイに表示する。

　図７に基づいて、攻撃検知方法を説明する。
　ステップＳ２１０において、モデル生成部１１２は、複数の制御値と複数の計測値とに基づいて、状態モデル１３４を生成する。
　状態モデル１３４は、監視対象２０２の状態別の値ペアを示す。
　値ペアは、制御値と計測値との組である。

　具体的には、モデル生成部１１２は状態モデル１３４を以下のように生成する。
　モデル生成部１１２は、複数の制御値と複数の計測値とから得られる複数の値ペアをグループ分けしてグループ毎に状態を定義する。

　ステップＳ２１０において、ルール生成部１１３は、複数の制御値と複数の計測値とが得られた時間帯に監視対象２０２によって通信された複数の通信データ１３３に基づいて、検知ルール１３５を生成する。
　検知ルール１３５は、監視対象２０２の状態別の通信情報を示す。通信情報については後述する。

　具体的には、ルール生成部１１３は検知ルール１３５を以下のように生成する。
　まず、ルール生成部１１３は、複数の通信データ１３３の各通信データ１３３が得られたときの値ペアに基づいて状態モデル１３４から状態を取得する。
　さらに、ルール生成部１１３は、各通信データ１３３から通信情報を取得する。
　そして、ルール生成部１１３は、取得した状態と取得した通信情報とを互いに対応付けて検知ルール１３５に登録する。

　図８に基づいて、生成処理（Ｓ２１０）の手順を説明する。
　ステップＳ２１１において、オペレータは、着目種類を決定し、着目種類を監視制御装置１００に入力する。
　そして、受付部１２３は、監視制御装置１００に入力された着目種類を受け付ける。
　着目種類は、状態モデル１３４と検知ルール１３５とを生成するために参照される種類である。

　ステップＳ２１２からステップＳ２１８は繰り返し実行される。

　ステップＳ２１２において、モデル生成部１１２は、着目種類の現在の値ペアを記憶部１２１から取得する。

　具体的には、モデル生成部１１２は着目種類の現在の値ペアを以下のように取得する。
　モデル生成部１１２は、着目種類と同じ制御種類を含んだ制御データ１３１を選択し、選択した制御データ１３１から最新の制御データ１３１を選択する。そして、制御データ１３１は、選択した最新の制御データ１３１から制御値を取得する。
　さらに、モデル生成部１１２は、着目種類と同じ計測種類を含んだ計測データ１３２を選択し、選択した計測データ１３２から最新の計測データ１３２を選択する。そして、計測データ１３２は、選択した最新の計測データ１３２から計測値を取得する。
　取得された制御値と取得された計測値との組が着目種類の現在の値ペアである。

　ステップＳ２１３において、モデル生成部１１２は、着目種類の現在の値ペアに基づいて、状態モデル１３４を更新する。

　具体的には、モデル生成部１１２は状態モデル１３４を以下のように更新する。
　まず、モデル生成部１１２は、着目種類の現在の値ペアをプロットグラフ１４１にプロットする。

　図９に、プロットグラフ１４１の一例を示す。
　プロットグラフ１４１は、１つ以上の値ペアがプロットされたグラフである。横軸が制御値を示し、縦軸が計測値を示す。

　次に、モデル生成部１１２は、プロットグラフ１４１に基づいて線形モデル１４２を更新する。

　図１０に、線形モデル１４２の一例を示す。
　線形モデル１４２は、プロットグラフ１４１に対応する１つ以上の線グラフである。
　図１０において、線形モデル１４２は２つの線グラフを含んでいる。各線グラフは式で定義される。例えば、第１の線グラフは「ｙ＝ａｘ＋ｂ」という式で定義され、第２の線グラフは「ｙ＝ｃｘ＋ｄ」という式で定義される。

　そして、モデル生成部１１２は、線形モデル１４２に基づいて状態モデル１３４を更新する。
　具体的には、モデル生成部１１２は、線形モデル１４２に含まれる値ペアの範囲を複数の範囲に分割し、範囲ごとに状態を定義する。

　図１１に、状態モデル１３４の一例を示す。
　図１１において、状態モデル１３４は４つの状態を含んでいる。
　状態（１）の範囲は、制御値がαより小さく計測値がβより小さい範囲である。
　状態（２）の範囲は、制御値がαより大きく計測値がβより小さい範囲である。
　状態（３）の範囲は、制御値がαより小さく計測値がβより大きい範囲である。
　状態（４）の範囲は、制御値がαより大きく計測値がβより大きい範囲である。

　図８に戻り、ステップＳ２１４から説明を続ける。
　ステップＳ２１４において、ルール生成部１１３は、状態モデル１３４から現在の状態を取得する。
　具体的には、ルール生成部１１３は、着目種類の現在の値ペアが属する範囲を状態モデル１３４から選択し、選択した範囲に定義された状態を状態モデル１３４から取得する。取得される状態が現在の状態である。

　ステップＳ２１５において、ルール生成部１１３は、新たな通信データ１３３が有るか判定する。
　１回目のステップＳ２１５における新たな通信データ１３３は、生成処理（Ｓ２１０）の開始後の時刻を含んだ通信データ１３３である。
　２回目以降のステップＳ２１５における新たな通信データ１３３は、前回のステップＳ２１５後の時刻を含んだ通信データ１３３である。
　新たな通信データ１３３が有る場合、処理はステップＳ２１６に進む。
　新たな通信データ１３３が無い場合、処理はステップＳ２１８に進む。

　ステップＳ２１６において、ルール生成部１１３は、新たな通信データ１３３から通信情報を取得する。
　具体的には、通信データ１３３は、通信情報が設定されたヘッダを有する。そして、ルール生成部１１３は、通信データ１３３のヘッダから通信情報を取得する。

　ステップＳ２１７において、ルール生成部１１３は、現在の状態に対応付けて通信情報を検知ルール１３５に登録する。

　図１２に、検知ルール１３５の一例を示す。
　検知ルール１３５は、状態と通信情報とを互いに対応付ける。
　通信情報は、通信の特徴を示す情報である。
　図１２において、通信情報は、プロトコル種別と送信元／送信先とデータ長とペイロード条件と周期条件とを含んでいる。
　プロトコル種別は、通信プロトコルを識別する。
　送信元／送信先は、送信元アドレスと送信先アドレスとの組である。
　データ長は、ペイロードのサイズである。
　ペイロード条件は、コマンドの種類または設定値の範囲などを示す。
　周期条件は、同じ種類の通信データ１３３が発生する周期を示す。

　図８に戻り、ステップＳ２１８から説明を続ける。
　ステップＳ２１８において、モデル生成部１１２は、生成処理（Ｓ２１０）を終了するか判定する。
　例えば、モデル生成部１１２は、予め決められた処理時間の経過、監視制御装置１００への生成終了命令の入力または監視対象２０２の運用時間の終了などに基づいて、生成処理（Ｓ２１０）の終了を判定する。
　生成処理（Ｓ２１０）を終了しない場合、処理はステップＳ２１２に進む。

　図７に戻り、ステップＳ２２０を続ける。
　ステップＳ２２０において、統合部１１４は、状態モデル１３４と検知ルール１３５とを最適化する。

　具体的には、統合部１１４は、通信情報が互いに一致する複数の状態が検知ルール１３５に存在する場合に状態モデル１３４と検知ルール１３５とのそれぞれにおいて複数の状態を１つの状態に統合する。

　統合処理（Ｓ２２０）の手順を説明する。
　まず、統合部１１４は、通信情報が互いに一致する複数の状態が検知ルール１３５に存在するか判定する。ここで、通信情報が互いに一致する複数の状態を、該当する複数の状態と呼ぶ。
　該当する複数の状態が検知ルール１３５に存在する場合、統合部１１４は、該当する複数の状態を状態モデル１３４から選択し、選択した複数の状態を１つの状態に統合する。さらに、統合部１１４は、該当する複数の状態を検知ルール１３５から選択し、選択した複数の状態を１つの状態に統合する。

　図１２において、状態（１）の通信情報は１つであり、状態（２）の通信情報は２つである。つまり、状態（１）と状態（２）とは通信情報の数が互いに一致しない。
　したがって、統合部１１４は、状態（１）と状態（２）とを１つの状態に統合しない。

　図１３に、検知ルール１３５の一例を示す。
　図１３において、状態（１）の通信情報は１つであり、状態（２）の通信情報は１つである。つまり、状態（１）と状態（２）とは通信情報の数が互いに一致する。
　さらに、状態（１）と状態（２）とは通信情報の内容が互いに一致する。
　したがって、統合部１１４は、状態（１）と状態（２）とを１つの状態に統合する。

　図１４に、図１３の検知ルール１３５を最適化して得られる検知ルール１３５を示す。
　状態（Ｕ１）は、状態（１）と状態（２）とが統合された状態を意味する。
　状態（１）の通信情報と状態（２）の通信情報とは、状態（Ｕ１）の通信情報に統合されている。

　図１５に、図１１の状態モデル１３４を最適化して得られる状態モデル１３４を示す。
　状態（１）の範囲と状態（２）の範囲とは、状態（Ｕ１）の範囲に統合されている。
　状態（Ｕ１）の範囲は、計測値がβより小さい範囲である。

　図７に戻り、ステップＳ２３０を説明する。
　ステップＳ２３０において、攻撃検知部１１５は、状態モデル１３４と検知ルール１３５とを用いて、攻撃データを検知する。
　つまり、攻撃検知部１１５は、状態モデル１３４と検知ルール１３５とを用いて、新たな通信データ１３３が攻撃データであるか判定する。
　ステップＳ２３０における新たな通信データ１３３は、ステップＳ２３０の実行中に通信された通信データ１３３である。

　具体的には、攻撃検知部１１５は、攻撃の通信データ１３３を以下のように検知する。
　まず、攻撃検知部１１５は、新たな通信データ１３３が通信された時間帯に計測された計測値に対応する状態を状態モデル１３４から選択する。
　次に、攻撃検知部１１５は、選択した状態に対応する通信情報を検知ルール１３５から選択する。
　次に、攻撃検知部１１５は、選択した通信情報と新たな通信データ１３３の通信情報を比較する。
　そして、新たな通信データ１３３の通信情報が選択した通信情報と一致しない場合に、攻撃検知部１１５は、新たな通信データ１３３が攻撃データであると判定する。

　図１６に基づいて、攻撃検知処理（Ｓ２３０）の手順を説明する。
　攻撃検知処理（Ｓ２３０）は繰り返し実行される。

　ステップＳ２３１において、攻撃検知部１１５は、状態モデル１３４から現在の状態を取得する。

　具体的には、攻撃検知部１１５は、現在の状態を以下のように取得する。
　まず、攻撃検知部１１５は、着目種類の現在の値ペアを記憶部１２１から取得する。この着目種類は、図３の生成処理（Ｓ２１０）における着目種類と同じである。つまり、この着目種類は、状態モデル１３４の生成に用いられた着目種類である。また、着目種類の現在の値ペアを取得する方法は、ステップＳ２１２（図３参照）における方法と同じである。
　そして、攻撃検知部１１５は、着目種類の現在の値ペアに基づいて、状態モデル１３４から現在の状態を取得する。現在の状態を取得する方法は、ステップＳ２１４（図３参照）における方法と同じである。

　ステップＳ２３２において、攻撃検知部１１５は、検知ルール１３５から通信情報を取得する。
　具体的には、攻撃検知部１１５は、現在の状態と同じ状態に対応する通信情報を検知ルール１３５から取得する。
　ステップＳ２３２で取得される通信情報を検知ルール１３５の通信情報と呼ぶ。

　ステップＳ２３３において、攻撃検知部１１５は、新たな通信データ１３３が有るか判定する。
　ステップＳ２３３における新たな通信データ１３３は、攻撃検知処理（Ｓ２３０）の開始後の時刻を含んだ通信データ１３３である。
　新たな通信データ１３３が有る場合、処理はステップＳ２３４に進む。
　新たな通信データ１３３が無い場合、攻撃検知処理（Ｓ２３０）は終了する。その後、攻撃検知処理（Ｓ２３０）は新たに実行される。

　ステップＳ２３４において、攻撃検知部１１５は、新たな通信データ１３３から通信情報を取得する。
　ステップＳ２３４で取得される通信情報を新たな通信データ１３３の通信情報と呼ぶ。

　ステップＳ２３５において、攻撃検知部１１５は、新たな通信データ１３３の通信情報を検知ルール１３５の通信情報と比較する。
　新たな通信データ１３３の通信情報が検知ルール１３５の通信情報と一致する場合、攻撃検知処理（Ｓ２３０）は終了する。その後、攻撃検知処理（Ｓ２３０）は新たに実行される。
　新たな通信データ１３３の通信情報が検知ルール１３５の通信情報と一致しない場合、処理はステップＳ２３６に進む。

　ステップＳ２３６において、警告部１１６は警告を出力する。
　具体的には、警告部１１６は、表示部１２４を介して、警告用のメッセージをディスプレイに表示する。つまり、警告部１１６は、警告用のメッセージを表示部１２４に入力する。そして、表示部１２４は、警告用のメッセージをディスプレイに表示する。但し、警告部１１６は、警告用の音声をスピーカから出力させる、または、警告用のランプを点灯させる等の方法によって、警告を出力してもよい。

　ステップＳ２３６の後、攻撃検知処理（Ｓ２３０）は終了する。その後、攻撃検知処理（Ｓ２３０）は新たに実行される。

＊＊＊実施の形態１の効果＊＊＊
　状態の通知を受けなくてもサイバー攻撃を検知することができる。

　監視制御装置１００は、制御値と計測値とを元に、プラント２１０の状態を自動で定義する。また、監視制御装置１００は、状態の定義に合わせて検知ルール１３５を自動で生成する。
　そのため、監視制御装置１００をシステムに導入すれば、機能追加および改修を行わなくても、サイバー攻撃を検知することができる。

　監視制御装置１００は、制御に応じて変化するプラント２１０の挙動を制御値と計測値とに基づいて状態として定義することができる。
　そのため、人間、人間の操作または通信経過時間といった運用面の情報に基づく状態ではなく、制御の実態に合った細かな状態によって、高精度な検知が可能である。

　状態モデル１３４と検知ルール１３５とを生成するために、オペレータは着目種類を選択知ればよい。
　つまり、オペレータによる複雑な設定を必要とせずに、攻撃を検知することができる。

　監視制御装置１００は、必要最小限の検知ルールに基づいて、攻撃を検知する。
　そのため、監視制御装置１００は、高性能な計算リソースと膨大な検知ルールとを必要としない。

　監視制御装置１００は、状態モデル１３４によって状態を定義する。
　これにより、通信データ１３３を用いた攻撃だけでなく、制御値または計測値の異常を状態モデル１３４に基づいて検知することも可能である。

　監視制御装置１００は、状態を判定し、状態に対応する検知ルールを通信データ１３３に適用する。
　そのため、攻撃者に乗っ取られたコンピュータから、通信シーケンスに従った通信を伴う攻撃が行われた場合でも、その攻撃を検知することができる。

　監視制御装置１００は、リモート端末以外の各種の端末からの攻撃であっても、ネットワークを介する攻撃を検知することができる。

　監視制御装置１００は、状態通知パケットを使用せず、制御値と計測値との関係性を元に状態を定義する。
　そのため、実施の形態１は状態通知パケットを改ざんするような攻撃の対策となる。

＊＊＊他の構成＊＊＊
　監視制御装置１００以外の装置が攻撃検知装置として機能してもよい。

　モデル生成部１１２は、制御データ１３１と計測データ１３２とのいずれか一方に基づいて、状態モデル１３４を生成してもよい。
　具体的には、モデル生成部１１２は、複数の計測値に基づいて状態モデル１３４を生成する。この場合、モデル生成部１１２は、複数の計測値をグループ分けしてグループ毎に状態を定義する。
　具体的には、モデル生成部１１２は、複数の制御値に基づいて状態モデル１３４を生成する。この場合、モデル生成部１１２は、複数の制御値をグループ分けしてグループ毎に状態を定義する。
　例えば、モデル生成部１１２は、複数の計測値または複数の制御値を時間帯毎にグループ分けする。

　ルール生成部１１３は、制御データ１３１と計測データ１３２とのいずれか一方に基づいて、検知ルール１３５を生成してもよい。
　具体的には、ルール生成部１１３は、複数の計測値が得られた時間帯に監視対象２０２によって通信された複数の通信データ１３３に基づいて検知ルール１３５を生成する。この場合、ルール生成部１１３は、複数の通信データ１３３の各通信データ１３３が得られたときの計測値に基づいて状態モデル１３４から状態を取得する。さらに、ルール生成部１１３は、各通信データ１３３から通信情報を取得する。そして、ルール生成部１１３は、取得した状態と取得した通信情報とを互いに対応付けて検知ルール１３５に登録する。
　具体的には、ルール生成部１１３は、複数の制御値が得られた時間帯に監視対象２０２によって通信された複数の通信データ１３３に基づいて検知ルール１３５を生成する。この場合、ルール生成部１１３は、複数の通信データ１３３の各通信データ１３３が得られたときの制御値に基づいて状態モデル１３４から状態を取得する。さらに、ルール生成部１１３は、各通信データ１３３から通信情報を取得する。そして、ルール生成部１１３は、取得した状態と取得した通信情報とを互いに対応付けて検知ルール１３５に登録する。

　実施の形態２．
　実施の形態１における方法とは異なる方法で検知ルール１３５を生成する形態について、主に実施の形態１と異なる点を図１７から図２０に基づいて説明する。

＊＊＊構成の説明＊＊＊
　監視制御システム２００の構成は、実施の形態１における構成と同じである（図１および図２参照）。
　監視制御装置１００の構成は、実施の形態１における構成と同じである（図３参照）。

＊＊＊動作の説明＊＊＊
　監視制御方法は、実施の形態１における方法と同じである（図５および図６参照）。

　図１７に基づいて、攻撃検知方法を説明する。
　ステップＳ３００において、モデル生成部１１２は、実施の形態１における方法と同じ方法で状態モデル１３４を生成する。
　また、ルール生成部１１３は、実施の形態１における方法とは異なる方法で検知ルール１３５を生成する。

　具体的には、ルール生成部１１３は、検知ルール１３５を以下のように生成する。
　ルール生成部１１３は、各通信データ１３３から取得した通信情報と同じ通信情報が通信情報リスト１３６に有るか判定する。通信情報リスト１３６については後述する。
　各通信データ１３３から取得した通信情報と同じ通信情報が通信情報リスト１３６に有る場合に、ルール生成部１１３は、取得した状態と取得した通信情報とを互いに対応付けて検知ルール１３５に登録する。

　ステップＳ２２０およびステップＳ２３０は、実施の形態１で説明した通りである（図７参照）。

　図１８に基づいて、生成処理（Ｓ３００）を説明する。
　ステップＳ３０１において、オペレータは、通信情報リスト１３６を生成し、生成した通信情報リスト１３６を監視制御装置１００に入力する。
　受付部１２３は通信情報リスト１３６を受け付け、データ管理部１１１は通信情報リスト１３６を記憶部１２１に記憶する。

　図１９に、通信情報リスト１３６の一例を示す。
　通信情報リスト１３６は、正当な通信データ１３３の通信情報のリストである。つまり、通信情報リスト１３６は、正当な通信情報のリストである。
　通信情報リスト１３６は、検知ルール１３５（図１２参照）から状態の欄を削除して得られるデータに相当する。

　ステップＳ３１１において、受付部１２３は、監視制御装置１００に入力された着目種類を受け付ける。
　ステップＳ３１１は、実施の形態１におけるステップＳ２１１と同じである（図８参照）。

　ステップＳ３１２において、モデル生成部１１２は、着目種類の現在の値ペアを記憶部１２１から取得する。
　ステップＳ３１２は、実施の形態１におけるステップＳ２１２と同じである（図８参照）。

　ステップＳ３１３において、モデル生成部１１２は、着目種類の現在の値ペアに基づいて、状態モデル１３４を更新する。
　ステップＳ３１３は、実施の形態１におけるステップＳ３１３と同じである（図８参照）。

　ステップＳ３１４において、ルール生成部１１３は、状態モデル１３４から現在の状態を取得する。
　ステップＳ３１４は、実施の形態１におけるステップＳ２１４と同じである（図８参照）。

　ステップＳ３１５において、ルール生成部１１３は、新たな通信データ１３３が有るか判定する。
　ステップＳ３１５は、実施の形態１におけるステップＳ２１５と同じである（図８参照）。
　新たな通信データ１３３が有る場合、処理はステップＳ３２０に進む。
　新たな通信データ１３３が無い場合、処理はステップＳ３１６に進む。

　ステップＳ３２０において、ルール生成部１１３は、新たな通信データ１３３と通信情報リスト１３６とに基づいて、検知ルール１３５を更新する。
　ステップＳ３２０の手順について後述する。

　ステップＳ３１６において、モデル生成部１１２は、生成処理（Ｓ３００）を終了するか判定する。
　ステップＳ３１６は、実施の形態１におけるステップＳ２１８と同じである（図８参照）。

　図２０に基づいて、検知ルール生成処理（Ｓ３２０）の手順を説明する。
　ステップＳ３２１において、ルール生成部１１３は、新たな通信データ１３３から通信情報を取得する。
　具体的には、通信データ１３３は、通信情報が設定されたヘッダを有する。そして、ルール生成部１１３は、通信データ１３３のヘッダから通信情報を取得する。
　ステップＳ３２１で取得される通信情報を新たな通信データ１３３の通信情報と呼ぶ。

　ステップＳ３２２において、ルール生成部１１３は、通信情報リスト１３６を検索することによって、新たな通信データ１３３の通信情報と同じ通信情報が通信情報リスト１３６に有るか判定する。
　新たな通信データ１３３の通信情報と同じ通信情報が通信情報リスト１３６に有る場合、処理はステップＳ３２３に進む。
　新たな通信データ１３３の通信情報と同じ通信情報が通信情報リスト１３６に無い場合、処理はステップＳ３２４に進む。

　ステップＳ３２３において、ルール生成部１１３は、現在の状態に対応付けて新たな通信データ１３３の通信情報を検知ルール１３５に登録する。

　ステップＳ３２４において、警告部１１６は警告を出力する。
　ステップＳ３２４は、実施の形態１におけるステップＳ２３６と同じである（図１６参照）。

＊＊＊実施の形態２の効果＊＊＊
　監視制御装置１００は、正当な通信情報に基づいて、状態に応じた検知ルールを自動で生成する。これにより、高精度な検知が実現される。
　さらに、監視制御装置１００は、検知ルールの生成時にも攻撃を検知できる。

＊＊＊実施の形態の補足＊＊＊
　図２１に基づいて、監視制御装置１００のハードウェア構成を説明する。
　監視制御装置１００は処理回路１０９を備える。
　処理回路１０９は、データ管理部１１１とモデル生成部１１２とルール生成部１１３と統合部１１４と攻撃検知部１１５と警告部１１６と記憶部１２１とを実現するハードウェアである。
　処理回路１０９は、専用のハードウェアであってもよいし、メモリ１０２に格納されるプログラムを実行するプロセッサ１０１であってもよい。

　処理回路１０９が専用のハードウェアである場合、処理回路１０９は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ＡＳＩＣ、ＦＰＧＡまたはこれらの組み合わせである。
　ＡＳＩＣはＡｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔの略称であり、ＦＰＧＡはＦｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙの略称である。
　監視制御装置１００は、処理回路１０９を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路１０９の役割を分担する。

　監視制御装置１００において、一部の機能が専用のハードウェアで実現されて、残りの機能がソフトウェアまたはファームウェアで実現されてもよい。

　このように、処理回路１０９はハードウェア、ソフトウェア、ファームウェアまたはこれらの組み合わせで実現することができる。

　実施の形態は、好ましい形態の例示であり、本発明の技術的範囲を制限することを意図するものではない。実施の形態は、部分的に実施してもよいし、他の形態と組み合わせて実施してもよい。フローチャート等を用いて説明した手順は、適宜に変更してもよい。

　１００　監視制御装置、１０１　プロセッサ、１０２　メモリ、１０３　補助記憶装置、１０４　通信装置、１０５　入出力インタフェース、１０９　処理回路、１１１　データ管理部、１１２　モデル生成部、１１３　ルール生成部、１１４　統合部、１１５　攻撃検知部、１１６　警告部、１２１　記憶部、１２２　通信部、１２３　受付部、１２４　表示部、１３１　制御データ、１３２　計測データ、１３３　通信データ、１３４　状態モデル、１３５　検知ルール、１３６　通信情報リスト、１４１　プロットグラフ、１４２　線形モデル、２００　監視制御システム、２０１　ネットワーク、２０２　監視対象、２１０　プラント、２１１　コントローラ、２１２　フィールドネットワーク、２１３　フィールドデバイス、２２１　情報系ネットワーク、２２２　制御系ネットワーク。

Claims

　監視対象を計測して得られた複数の計測値に基づいて、前記監視対象の状態別の計測値を示す状態モデルを生成するモデル生成部と、
　前記複数の計測値が得られた時間帯に前記監視対象によって通信された複数の通信データに基づいて、前記監視対象の状態別の通信情報を示す検知ルールを生成するルール生成部と、
　前記状態モデルと前記検知ルールとを用いて、新たな通信データが攻撃データであるか判定する攻撃検知部と
を備える攻撃検知装置。
　前記モデル生成部は、前記複数の計測値をグループ分けしてグループ毎に状態を定義することによって前記状態モデルを生成する
請求項１に記載の攻撃検知装置。
　前記モデル生成部は、前記複数の計測値と前記監視対象に対する複数の制御値とに基づいて、前記状態モデルを生成する
　前記ルール生成部は、前記複数の制御値と前記複数の計測値とが得られた時間帯に前記監視対象によって通信された複数の通信データに基づいて、前記検知ルールを生成する
請求項１に記載の攻撃検知装置。
　前記モデル生成部は、前記複数の制御値と前記複数の計測値とから得られる複数の値ペアをグループ分けしてグループ毎に状態を定義することによって前記状態モデルを生成する
請求項３に記載の攻撃検知装置。
　前記ルール生成部は、前記複数の通信データの各通信データが得られたときの計測値に基づいて前記状態モデルから状態を取得し、各通信データから通信情報を取得し、取得した状態と取得した通信情報とを互いに対応付けて前記検知ルールに登録する
請求項１から請求項４のいずれか１項に記載の攻撃検知装置。
　前記ルール生成部は、取得した通信情報と同じ通信情報が通信情報リストに有る場合に、取得した状態と取得した通信情報とを互いに対応付けて前記検知ルールに登録する
請求項５に記載の攻撃検知装置。
　前記攻撃検知部は、前記新たな通信データが通信された時間帯に計測された計測値に対応する状態を前記状態モデルから選択し、選択した状態に対応する通信情報を前記検知ルールから選択し、選択した通信情報と前記新たな通信データの通信情報を比較し、前記新たな通信データの通信情報が前記選択した通信情報と一致しない場合に前記新たな通信データが前記攻撃データであると判定する
請求項１から請求項６のいずれか１項に記載の攻撃検知装置。
　前記攻撃検知装置は、通信情報が互いに一致する複数の状態が前記検知ルールに存在する場合に前記状態モデルと前記検知ルールとのそれぞれにおいて前記複数の状態を１つの状態に統合する統合部を備え、
　前記攻撃検知部は、前記複数の状態が前記１つの状態に統合された場合に、統合後の状態モデルと統合後の検知ルールとを用いて、前記攻撃の通信データを検知する
請求項１から請求項７のいずれか１項に記載の攻撃検知装置。
　モデル生成部が、監視対象を計測して得られた複数の計測値に基づいて、前記監視対象の状態別の計測値を示す状態モデルを生成し、
　ルール生成部が、前記複数の計測値が得られた時間帯に前記監視対象によって通信された複数の通信データに基づいて、前記監視対象の状態別の通信情報を示す検知ルールを生成し、
　攻撃検知部が、前記状態モデルと前記検知ルールとを用いて、新たな通信データが攻撃データであるか判定する
攻撃検知方法。
　監視対象を計測して得られた複数の計測値に基づいて、前記監視対象の状態別の計測値を示す状態モデルを生成するモデル生成処理と、
　前記複数の計測値が得られた時間帯に前記監視対象によって通信された複数の通信データに基づいて、前記監視対象の状態別の通信情報を示す検知ルールを生成するルール生成処理と、
　前記状態モデルと前記検知ルールとを用いて、新たな通信データが攻撃データであるか判定する攻撃検知処理と
をコンピュータに実行させるための攻撃検知プログラム。