JP6835526B2 - Unauthorized access monitoring device and method - Google Patents
Unauthorized access monitoring device and method Download PDFInfo
- Publication number
- JP6835526B2 JP6835526B2 JP2016202292A JP2016202292A JP6835526B2 JP 6835526 B2 JP6835526 B2 JP 6835526B2 JP 2016202292 A JP2016202292 A JP 2016202292A JP 2016202292 A JP2016202292 A JP 2016202292A JP 6835526 B2 JP6835526 B2 JP 6835526B2
- Authority
- JP
- Japan
- Prior art keywords
- command
- monitoring
- unauthorized access
- unauthorized
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Description
本発明は、通信機器に対する不正機器からの不正アクセスを検知するための不正アクセス監視技術に関する。 The present invention relates to an unauthorized access monitoring technique for detecting unauthorized access from an unauthorized device to a communication device.
従来、ビル建物に設置されている各種設備を関する設備管理システムとして、BACnet(Building Automation and Control Networking protocol:登録商標)と呼ばれるインテリジェントビル用ネットワークのための通信プロトコル規格を利用した、いわゆるBACnetシステムが普及しつつある。 Conventionally, as a facility management system related to various facilities installed in a building, a so-called BACnet system using a communication protocol standard for an intelligent building network called BACnet (Building Automation and Control Networking protocol: registered trademark) has been used. It is becoming popular.
このようなBACnetシステムは、元々クローズドな環境に適用されていたため、これまであまり重要視されていなかったが、近年、IOTや他システムとの連携が進みつつあり、外部からアクセス可能なオープンな環境に変わりつつある。このため、悪意のある者が、不正アクセスしてBACnetシステムに接続できた場合、BACnetシステム内の各種機器が様々に不正操作される可能性があるという問題点があった。 Since such a BACnet system was originally applied to a closed environment, it has not been given much importance until now, but in recent years, cooperation with IOT and other systems has been progressing, and an open environment accessible from the outside. Is changing to. Therefore, if a malicious person can illegally access and connect to the BACnet system, there is a problem that various devices in the BACnet system may be illegally operated.
本発明はこのような課題を解決するためのものであり、外部からの不正アクセスを的確に検知できる不正アクセス監視技術を提供することを目的としている。 The present invention is for solving such a problem, and an object of the present invention is to provide an unauthorized access monitoring technique capable of accurately detecting unauthorized access from the outside.
このような目的を達成するために、本発明にかかる不正アクセス監視装置は、通信回線に接続されている各設備機器に対する不正機器からの不正アクセスを検知する不正アクセス監視装置であって、前記設備機器は、前記設備機器のシステム接続情報を問い合わせるための問い合わせコマンドに対して、前記設備機器のシステム接続情報を含む応答コマンドを送信する機能を有し、前記通信回線を監視して、前記設備機器に対する前記問い合わせコマンドを検知するコマンド監視部と、前記問い合わせコマンドの検知に応じて、前記問い合わせコマンドの送信元である監視対象機器に対して、前記システム接続情報を問い合わせるための問い合わせコマンドを返信する不正アクセス判定部とを備え、前記不正アクセス判定部は、前記問い合わせコマンドの返信から一定の監視時間が経過するまでに前記監視対象機器から前記応答コマンドが返信された否か監視し、前記監視時間内に前記応答コマンドの返信がなかった場合、前記監視対象機器を不正機器として判定するようにしたものである。 In order to achieve such an object, the unauthorized access monitoring device according to the present invention is an unauthorized access monitoring device that detects unauthorized access from an unauthorized device to each facility device connected to a communication line, and is described above. equipment to the equipment inquiry command for inquiring the system connection information of the apparatus has a function to transmit a response command including the system connection information of the equipment, to monitor the communication line, said equipment a command monitoring unit for detecting the inquiry command for, in response to detection of the inquiry command, the monitoring target device that is the transmission source of the inquiry command, illegal to return the inquiry command for inquiring the system connection information and an access determination unit, the unauthorized access determination unit, said response command from the monitoring target device until the query command a certain monitoring time from reply has elapsed monitors whether sent back, within the monitoring time If the response command is not returned to the user, the monitored device is determined as an unauthorized device.
また、本発明にかかる上記不正アクセス監視装置の一構成例は、前記不正アクセス判定部が、前記監視時間内に前記応答コマンドの返信があった場合、接続許可機器のシステム接続情報が予め登録されている接続許可リストを参照し、前記応答コマンドに含まれる前記監視対象機器のシステム接続情報が前記接続許可リストに登録されていない場合、前記監視対象機器を不正機器として判定するようにしたものである。 Further, in one configuration example of the unauthorized access monitoring device according to the present invention, when the unauthorized access determination unit receives a reply of the response command within the monitoring time, the system connection information of the connection permitted device is registered in advance. If the system connection information of the monitored device included in the response command is not registered in the connection permission list, the monitored device is determined as an unauthorized device. is there.
また、本発明にかかる上記不正アクセス監視装置の一構成例は、前記コマンド監視部が、一定の計数時間内に前記設備機器がやり取りする前記問い合わせコマンド、および/または前記応答コマンドに関するコマンド数を監視し、前記不正アクセス判定部は、前記監視時間内に前記応答コマンドの返信があった場合、前記コマンド数が規定のしきい値より増加している場合には、前記監視対象機器を不正機器として判定するようにしたものである。 Further, in one configuration example of the unauthorized access monitoring device according to the present invention, the command monitoring unit monitors the number of commands related to the inquiry command and / or the response command exchanged by the equipment within a certain counting time. Then, when the response command is returned within the monitoring time and the number of commands is increased from the specified threshold value, the unauthorized access determination unit regards the monitored device as an unauthorized device. It is designed to be judged.
また、本発明にかかる不正アクセス監視方法は、通信回線に接続されている各設備機器に対する不正機器からの不正アクセスを検知する不正アクセス監視装置において実行される不正アクセス監視方法であって、前記設備機器は、前記設備機器のシステム接続情報を問い合わせるための問い合わせコマンドに対して、前記設備機器のシステム接続情報を含む応答コマンドを送信する機能を有し、前記不正アクセス監視装置は、コマンド監視部と不正アクセス判定部とを備え、前記コマンド監視部が、前記通信回線を監視して、前記設備機器に対する前記問い合わせコマンドを検知するコマンド監視ステップと、前記不正アクセス判定部が、前記問い合わせコマンドの検知に応じて、前記問い合わせコマンドの送信元である監視対象機器に対して、前記システム接続情報を問い合わせるための問い合わせコマンドを返信する不正アクセス判定ステップとを備え、前記不正アクセス判定ステップは、前記問い合わせコマンドの返信から一定の監視時間が経過するまでに前記監視対象機器から前記応答コマンドが返信された否か監視し、前記監視時間内に前記応答コマンドの返信がなかった場合、前記監視対象機器を不正機器として判定するようにしたものである。 Further, the unauthorized access monitoring method according to the present invention is an unauthorized access monitoring method executed by an unauthorized access monitoring device that detects unauthorized access from an unauthorized device to each equipment connected to a communication line, and is the above-mentioned equipment. The device has a function of transmitting a response command including the system connection information of the equipment in response to an inquiry command for inquiring the system connection information of the equipment, and the unauthorized access monitoring device includes a command monitoring unit. and a fraudulent access determination unit, the command monitoring part monitors the communication line, a command monitoring step of detecting said inquiry command to said equipment, the unauthorized access determination unit, the detection of the inquiry command Correspondingly, the unauthorized access determination step for returning an inquiry command for inquiring the system connection information to the monitored device which is the transmission source of the inquiry command is provided, and the unauthorized access determination step is the inquiry command. If the response command from the monitoring target device until a predetermined monitoring time from the reply has elapsed monitors whether sent back, said there is no reply response command within the monitoring time, unauthorized apparatus the monitoring target device It is determined as.
また、本発明にかかる上記不正アクセス監視方法は、前記不正アクセス判定ステップが、前記監視時間内に前記応答コマンドの返信があった場合、接続許可機器のシステム接続情報が予め登録されている接続許可リストを参照し、前記応答コマンドに含まれる前記監視対象機器のシステム接続情報が前記接続許可リストに登録されていない場合、前記監視対象機器を不正機器として判定するようにしたものである。 Further, in the above-mentioned unauthorized access monitoring method according to the present invention, when the unauthorized access determination step receives a reply of the response command within the monitoring time, the connection permission in which the system connection information of the connection-permitted device is registered in advance. When the system connection information of the monitored device included in the response command is not registered in the connection permission list, the monitored device is determined as an unauthorized device by referring to the list.
また、本発明にかかる上記不正アクセス監視方法は、前記コマンド監視ステップが、一定の計数時間内に前記設備機器がやり取りする前記問い合わせコマンド、および/または前記応答コマンドに関するコマンド数を監視し、前記不正アクセス判定ステップは、前記監視時間内に前記応答コマンドの返信があった場合、前記コマンド数が規定のしきい値より増加している場合には、前記監視対象機器を不正機器として判定するようにしたものである。 Further, in the unauthorized access monitoring method according to the present invention, the command monitoring step monitors the number of commands related to the inquiry command and / or the response command exchanged by the equipment within a certain counting time, and the unauthorized access is performed. The access determination step determines the monitored device as an unauthorized device when the response command is returned within the monitoring time and the number of commands is larger than the specified threshold value. It was done.
本発明によれば、監視対象機器が不正機器であり、正当なシステム接続情報を持たない場合、不正アクセス判定部からの問い合わせコマンドに対する応答コマンドを、一定の監視時間が経過するまでの間に監視対象機器から返信されない。このため、このような監視対象機器は不正機器として判定されることになり、結果として、外部からの不正アクセスを的確に検知することが可能となる。 According to the present invention, when the monitored device is an unauthorized device and does not have valid system connection information, the response command to the inquiry command from the unauthorized access determination unit is monitored until a certain monitoring time elapses. No reply from the target device. Therefore, such a monitored device is determined as an unauthorized device, and as a result, unauthorized access from the outside can be accurately detected.
次に、本発明の実施の形態について図面を参照して説明する。
[第1の実施の形態]
まず、図1を参照して、本発明の第1の実施の形態にかかる不正アクセス監視装置10について説明する。図1は、不正アクセス監視装置の構成を示すブロック図である。
Next, an embodiment of the present invention will be described with reference to the drawings.
[First Embodiment]
First, the unauthorized
この不正アクセス監視装置10は、BACnetシステムなどの設備管理システム1に接続されて、不正機器30から設備管理システム1の各設備機器20に対する不正アクセスを検知する機能を有している。
設備機器20は、設備管理システム1を構成する中央監視装置(B−OWS:BACnet Operator Workstation)、コントローラ、フィールド機器などの各種の機器装置からなる。フィールド機器の具体例としては、空調器、ファン、温度センサ、アクチュエータ、防犯カメラ、防犯センサ、セキュリティーロック、警報器、ブレーカー、電流計、電圧計、照明装置、防火シャッタ等がある。
The unauthorized
The
不正アクセス監視装置10には、主な機能部として、通信I/F部11、接続許可リスト記憶部12、コマンド監視部13、および不正アクセス判定部14が設けられている。
The unauthorized
通信I/F部11は、各設備機器20が接続されている通信回線Lを介してこれら設備機器20、不正機器30、その他の外部装置(図示せず)との間で各種コマンドを送受信する機能を有している。
接続許可リスト記憶部12は、半導体メモリなどの記憶装置からなり、通信回線Lに対して接続が許可されている設備機器20やその他の外部装置などの接続許可機器に関する、ベンダー識別子、デバイスオブジェクト識別子、正規MACアドレスなどのシステム接続情報が予め登録されている接続許可リストを記憶する機能を有している。
The communication I /
The connection permission
コマンド監視部13は、通信回線Lから通信I/F部11で受信した各種コマンドを監視して、BACnetシステムにおけるWho−IsサービスやWho−Hasサービスなど、設備管理システム1で用いるシステム接続情報を相手機器に問い合わせるための問い合わせコマンドを検知する機能と、一定の計数時間内に各設備機器20がやり取りする問い合わせコマンド、および/または応答コマンドに関するコマンド数を監視する機能とを有している。
The
不正アクセス判定部14は、コマンド監視部13による問い合わせコマンドの検知に応じて、当該問い合わせコマンドの送信元となる監視対象機器に対して問い合わせコマンドを返信する機能と、当該問い合わせコマンドに対する、例えばBACnetシステムにおけるI−amコマンドなどの応答コマンドが、当該問い合わせコマンドの返信から一定の監視時間が経過するまでに監視対象機器から返信された否か監視する機能と、監視時間内に返信がなかった場合には監視対象機器を不正機器として判定する機能とを有している。
The unauthorized
また、不正アクセス判定部14は、監視時間内に返信があった場合には接続許可リスト記憶部12の接続許可リストを参照し、監視対象機器からの応答コマンドで通知されたシステム接続情報に基づいて、監視対象機器が接続許可機器であるか不正機器であるかを判定する機能と、監視時間内に応答コマンドの返信があった場合、コマンド数が規定のしきい値より増加している場合には、監視対象機器を不正機器として判定する機能と、得られた判定結果を、通信I/F部11から通信回線Lを介して外部装置へ通知し、あるいは/および、自装置のモニタ画面に表示する機能とを有している。
Further, the unauthorized
[第1の実施の形態の動作]
次に、図2を参照して、本実施の形態にかかる不正アクセス監視装置10の動作について説明する。図2は、不正アクセス監視動作を示すシーケンス図である。
[Operation of the first embodiment]
Next, the operation of the unauthorized
通信回線Lに接続された不正機器30は、各設備機器20に対して不正アクセスする際、これら設備機器20に対してブロードキャストで問い合わせコマンドを送信する(ステップ100)。これは、問い合わせコマンドに対する各設備機器20からの応答コマンドにより、各設備機器20への不正アクセスに必要となる設備機器20のシステム接続情報を収集するためである。
When the
不正アクセス監視装置10は、コマンド監視部13により、不正機器30からの問い合わせコマンドが検知された場合、問い合わせコマンドの送信元である不正機器30を監視対象機器とし、問い合わせコマンドに対する応答コマンドに代えて、不正アクセス判定部14から問い合わせコマンドが返信される(ステップ101)。
When the
不正機器30は、不正アクセス監視装置10からの問い合わせコマンドを受信した場合、自己が不正機器30であるため正当なシステム接続情報を返信できない。
したがって、不正アクセス監視装置10では、不正アクセス判定部14により、当該問い合わせコマンドの返信から一定の監視時間が経過するまでに監視対象機器から応答コマンドが返信されたか否かを監視し(ステップ102)、監視時間内に返信がなかった場合には(ステップ102:NO)、監視対象機器を不正機器30として判定する(ステップ103)。
When the
Therefore, in the unauthorized
また、監視時間内に何らかの応答コマンドが監視対象機器から返信された場合(ステップ110)、不正アクセス監視装置10では、不正アクセス判定部14により、接続許可リスト記憶部12の接続許可リストを参照し、監視対象機器からの応答コマンドに含まれるシステム接続情報が接続許可リストに登録されているか否か確認する(ステップ111)。
ここで、監視対象機器のシステム接続情報が接続許可リストに登録されていない場合(ステップ111:NO)、不正アクセス判定部14は、監視対象機器が接続許可機器であるか不正機器30であると判定する(ステップ112)。
Further, when some response command is returned from the monitored device within the monitoring time (step 110), the unauthorized
Here, when the system connection information of the monitored device is not registered in the connection permission list (step 111: NO), the unauthorized
[第1の実施の形態の効果]
このように、本実施の形態は、コマンド監視部13が、通信回線Lを監視して、設備機器20に対する問い合わせコマンドを検知し、不正アクセス判定部14が、問い合わせコマンドの検知に応じて、問い合わせコマンドの送信元である監視対象機器に対して、問い合わせコマンドを返信し、問い合わせコマンドの返信から一定の監視時間が経過するまでに監視対象機器から応答コマンドが返信された否か監視し、監視時間内に応答コマンドの返信がなかった場合、監視対象機器を不正機器30として判定するようにしたものである。
[Effect of the first embodiment]
As described above, in the present embodiment, the
これにより、監視対象機器が不正機器30であり、正当なシステム接続情報を持たない場合、不正アクセス判定部14からの問い合わせコマンドに対する応答コマンドを、一定の監視時間が経過するまでの間に監視対象機器から返信されない。このため、このような監視対象機器は不正機器30として判定されることになり、結果として、外部からの不正アクセスを的確に検知することが可能となる。
As a result, when the monitored device is an
また、本実施の形態において、不正アクセス判定部14が、監視時間内に応答コマンドの返信があった場合、接続許可機器のシステム接続情報が予め登録されている接続許可リスト記憶部12の接続許可リストを参照し、応答コマンドに含まれる監視対象機器のシステム接続情報が接続許可リストに登録されていない場合、監視対象機器を不正機器30として判定するようにしてもよい。
Further, in the present embodiment, when the unauthorized
これにより、監視対象機器が不正アクセス判定部14からの問い合わせコマンドに対して何らかの応答コマンドを監視時間内に返信しても、その応答コマンドに含まれるシステム接続情報は、接続許可機器のシステム接続情報とは異なるものとなる。このため、このような監視対象機器は不正機器30として判定されることになり、結果として、外部からの不正アクセスを的確に検知することが可能となる。
As a result, even if the monitored device returns some response command to the inquiry command from the unauthorized
[第2の実施の形態]
次に、本発明の第2の実施の形態にかかる不正アクセス監視装置10について説明する。本実施の形態では、通信回線Lでやり取りされるコマンド数の変化に基づき不正機器30かどうか判定する場合について説明する。
[Second Embodiment]
Next, the unauthorized
本実施の形態において、コマンド監視部13は、一定の計数時間内に設備機器がやり取りする問い合わせコマンド、および/または応答コマンドに関するコマンド数を監視する機能を有している。
また、不正アクセス判定部14は、コマンド数が規定のしきい値より増加している場合には、監視対象機器を不正機器30と判定する機能を有している。
In the present embodiment, the
Further, the unauthorized
通常、問い合わせコマンドや応答コマンドは、設備機器20間で周期的にやり取りされている。したがって、一定の計数期間内にやり取りされるコマンド数は、規定のしきい値以下となる。一方、不正機器30が通信回線Lに接続されて設備機器20に対して問い合わせコマンドを送信した場合、設備機器20から応答コマンドが返信されて、コマンド数が一時的に上昇して規定のしきい値を超えることになる。このため、このようなコマンド数を監視しておけば、不正機器30が接続されて不正アクセスが開始されたかどうか判定することができる。
Normally, inquiry commands and response commands are periodically exchanged between the
第1の実施の形態では、不正アクセス監視装置10から返信した問い合わせコマンドに対する応答コマンドが、監視時間内に監視対象機器から返信された場合、接続許可リストにより不正機器30かどうか判定する場合を例として説明した。この際、監視時間内に監視対象機器から返信された場合には、本実施の形態を適用して、通信回線L上のコマンド数の変化に基づき監視対象機器が不正機器30かどうか判定するようにしてもよい。これにより、接続許可リストを省くことができる。
In the first embodiment, when the response command to the inquiry command returned from the unauthorized
[実施の形態の拡張]
以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しうる様々な変更をすることができる。また、各実施形態については、矛盾しない範囲で任意に組み合わせて実施することができる。
[Extension of Embodiment]
Although the present invention has been described above with reference to the embodiments, the present invention is not limited to the above embodiments. Various changes that can be understood by those skilled in the art can be made to the structure and details of the present invention within the scope of the present invention. In addition, each embodiment can be implemented in any combination within a consistent range.
1…設備管理システム、10…不正アクセス監視装置、11…通信I/F部、12…接続許可リスト記憶部、13…コマンド監視部、14…不正アクセス判定部、L…通信回線。 1 ... Equipment management system, 10 ... Unauthorized access monitoring device, 11 ... Communication I / F unit, 12 ... Connection permission list storage unit, 13 ... Command monitoring unit, 14 ... Unauthorized access determination unit, L ... Communication line.
Claims (6)
前記設備機器は、前記設備機器のシステム接続情報を問い合わせるための問い合わせコマンドに対して、前記設備機器のシステム接続情報を含む応答コマンドを送信する機能を有し、
前記通信回線を監視して、前記設備機器に対する前記問い合わせコマンドを検知するコマンド監視部と、
前記問い合わせコマンドの検知に応じて、前記問い合わせコマンドの送信元である監視対象機器に対して、前記システム接続情報を問い合わせるための問い合わせコマンドを返信する不正アクセス判定部とを備え、
前記不正アクセス判定部は、前記問い合わせコマンドの返信から一定の監視時間が経過するまでに前記監視対象機器から前記応答コマンドが返信された否か監視し、前記監視時間内に前記応答コマンドの返信がなかった場合、前記監視対象機器を不正機器として判定する
ことを特徴とする不正アクセス監視装置。 An unauthorized access monitoring device that detects unauthorized access from unauthorized equipment to each equipment connected to a communication line.
The equipment has a function of transmitting a response command including the system connection information of the equipment in response to an inquiry command for inquiring the system connection information of the equipment.
Monitoring said communication line, and a command monitoring unit for detecting the inquiry command for the equipment,
It is provided with an unauthorized access determination unit that returns an inquiry command for inquiring the system connection information to the monitored device that is the source of the inquiry command in response to the detection of the inquiry command.
The unauthorized access determination unit, the inquiry command the response command from the monitoring target device until a predetermined monitoring time from the reply has passed the monitors whether sent back, replies the response command within the monitoring time If not, the unauthorized access monitoring device is characterized by determining the monitored device as an unauthorized device.
前記不正アクセス判定部は、前記監視時間内に前記応答コマンドの返信があった場合、接続許可機器のシステム接続情報が予め登録されている接続許可リストを参照し、前記応答コマンドに含まれる前記監視対象機器のシステム接続情報が前記接続許可リストに登録されていない場合、前記監視対象機器を不正機器として判定することを特徴とする不正アクセス監視装置。 In the unauthorized access monitoring device according to claim 1,
When the response command is returned within the monitoring time, the unauthorized access determination unit refers to the connection permission list in which the system connection information of the connection permission device is registered in advance, and the monitoring included in the response command. An unauthorized access monitoring device, characterized in that, when the system connection information of the target device is not registered in the connection permission list, the monitored device is determined as an unauthorized device.
前記コマンド監視部は、一定の計数時間内に前記設備機器がやり取りする前記問い合わせコマンド、および/または前記応答コマンドに関するコマンド数を監視し、
前記不正アクセス判定部は、前記監視時間内に前記応答コマンドの返信があった場合、前記コマンド数が規定のしきい値より増加している場合には、前記監視対象機器を不正機器として判定することを特徴とする不正アクセス監視装置。 In the unauthorized access monitoring device according to claim 1,
The command monitoring unit monitors the number of commands related to the inquiry command and / or the response command exchanged by the equipment within a fixed counting time.
The unauthorized access determination unit determines the monitored device as an unauthorized device when the response command is returned within the monitoring time and the number of commands is larger than the specified threshold value. An unauthorized access monitoring device characterized by this.
前記不正アクセス監視装置は、コマンド監視部と不正アクセス判定部とを備え、
前記設備機器は、前記設備機器のシステム接続情報を問い合わせるための問い合わせコマンドに対して、前記設備機器のシステム接続情報を含む応答コマンドを送信する機能を有し、
前記コマンド監視部が、前記通信回線を監視して、前記設備機器に対する前記問い合わせコマンドを検知するコマンド監視ステップと、
前記不正アクセス判定部が、前記問い合わせコマンドの検知に応じて、前記問い合わせコマンドの送信元である監視対象機器に対して、前記システム接続情報を問い合わせるための問い合わせコマンドを返信する不正アクセス判定ステップとを備え、
前記不正アクセス判定ステップは、前記問い合わせコマンドの返信から一定の監視時間が経過するまでに前記監視対象機器から前記応答コマンドが返信された否か監視し、前記監視時間内に前記応答コマンドの返信がなかった場合、前記監視対象機器を不正機器として判定する
ことを特徴とする不正アクセス監視方法。 This is an unauthorized access monitoring method executed by an unauthorized access monitoring device that detects unauthorized access from unauthorized equipment to each equipment connected to a communication line.
The unauthorized access monitoring device includes a command monitoring unit and an unauthorized access determination unit.
The equipment has a function of transmitting a response command including the system connection information of the equipment in response to an inquiry command for inquiring the system connection information of the equipment.
Said command monitoring unit monitors the communication line, a command monitoring step of detecting said inquiry command to said equipment,
In response to the detection of the inquiry command , the unauthorized access determination unit returns an inquiry command for inquiring the system connection information to the monitored device that is the source of the inquiry command. Prepare,
The illegal access determining step, the query command the response command from the monitoring target device until a predetermined monitoring time from the reply has passed the monitors whether sent back, replies the response command within the monitoring time An unauthorized access monitoring method, characterized in that, if not, the monitored device is determined as an unauthorized device.
前記不正アクセス判定ステップは、前記監視時間内に前記応答コマンドの返信があった場合、接続許可機器のシステム接続情報が予め登録されている接続許可リストを参照し、前記応答コマンドに含まれる前記監視対象機器のシステム接続情報が前記接続許可リストに登録されていない場合、前記監視対象機器を不正機器として判定することを特徴とする不正アクセス監視方法。 In the unauthorized access monitoring method according to claim 4,
When the response command is returned within the monitoring time, the unauthorized access determination step refers to the connection permission list in which the system connection information of the connection permission device is registered in advance, and the monitoring included in the response command. An unauthorized access monitoring method comprising determining the monitored device as an unauthorized device when the system connection information of the target device is not registered in the connection permission list.
前記コマンド監視ステップは、一定の計数時間内に前記設備機器がやり取りする前記問い合わせコマンド、および/または前記応答コマンドに関するコマンド数を監視し、
前記不正アクセス判定ステップは、前記監視時間内に前記応答コマンドの返信があった場合、前記コマンド数が規定のしきい値より増加している場合には、前記監視対象機器を不正機器として判定することを特徴とする不正アクセス監視方法。 In the unauthorized access monitoring method according to claim 4,
The command monitoring step monitors the number of commands related to the inquiry command and / or the response command exchanged by the equipment within a fixed counting time.
The unauthorized access determination step determines the monitored device as an unauthorized device when the response command is returned within the monitoring time and the number of commands is larger than the specified threshold value. An unauthorized access monitoring method characterized by this.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016202292A JP6835526B2 (en) | 2016-10-14 | 2016-10-14 | Unauthorized access monitoring device and method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016202292A JP6835526B2 (en) | 2016-10-14 | 2016-10-14 | Unauthorized access monitoring device and method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018063618A JP2018063618A (en) | 2018-04-19 |
| JP6835526B2 true JP6835526B2 (en) | 2021-02-24 |
Family
ID=61966947
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016202292A Active JP6835526B2 (en) | 2016-10-14 | 2016-10-14 | Unauthorized access monitoring device and method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6835526B2 (en) |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003218873A (en) * | 2002-01-24 | 2003-07-31 | Fujitsu Ltd | Communication monitoring device and monitoring method |
| JP4670670B2 (en) * | 2005-03-23 | 2011-04-13 | パナソニック株式会社 | Private branch exchange system |
| JP5269619B2 (en) * | 2009-01-06 | 2013-08-21 | 株式会社東芝 | Device, method and program for monitoring external device |
| US20120297457A1 (en) * | 2010-11-15 | 2012-11-22 | Brian Schulte | Interactive Malware Detector |
| JP5651615B2 (en) * | 2012-02-16 | 2015-01-14 | 日立オートモティブシステムズ株式会社 | In-vehicle network system |
| JP2016010089A (en) * | 2014-06-26 | 2016-01-18 | 株式会社日立製作所 | Traffic monitoring system |
-
2016
- 2016-10-14 JP JP2016202292A patent/JP6835526B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2018063618A (en) | 2018-04-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10826684B1 (en) | System and method of validating Internet of Things (IOT) devices | |
| KR101369727B1 (en) | Apparatus and method for controlling traffic based on captcha | |
| KR101885720B1 (en) | IOT base remote control system for building equipment available for control air quality of each indoor space | |
| JP2009017562A (en) | Method and apparatus for early warning of network equipment | |
| JP6117050B2 (en) | Network controller | |
| CN112765679B (en) | Sensor data management method, device, system and storage medium | |
| JP6835526B2 (en) | Unauthorized access monitoring device and method | |
| US9124581B2 (en) | Industrial automation system and method for safeguarding the system | |
| EP3029649B1 (en) | System and method for take-over protection for a security system | |
| JP7125317B2 (en) | UNAUTHORIZED ACCESS MONITORING DEVICE AND METHOD | |
| US12028708B2 (en) | Method and system for authorizing the communication of a network node | |
| US20210037381A1 (en) | Method and System for Authorizing the Communication of a Network Node | |
| KR101429178B1 (en) | System and method of wireless network security | |
| KR101432039B1 (en) | Method for remote monitoring using IP camera | |
| Hattori et al. | Function estimation of multiple IoT devices by communication traffic analysis | |
| JP7840951B2 (en) | Malware detection method, malware detection device, and program | |
| WO2023282193A1 (en) | Malware detection method, malware detection device, and program | |
| US11303677B2 (en) | Method and system for managing the operation of a group of several connected objects | |
| JP2018128758A (en) | Unauthorized access obstruction device and method | |
| JP2018116451A (en) | Equipment management system, equipment apparatus, unauthorized access monitoring device and method | |
| KR101896527B1 (en) | Remote housing management system and controlling method threrof | |
| KR102196970B1 (en) | Apparatus for inspecting security vulnerability through console connection and method for the same | |
| KR102947989B1 (en) | System for automatically performing port-to-device mapping using state changes of power-controllable ports | |
| CN105142231A (en) | Wireless network and method | |
| CN112866172A (en) | Safety protection method and device, smart home system and computer readable medium |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190917 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200716 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200804 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200831 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210126 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210204 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6835526 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |