Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7756066B2 - 異常通信判別装置、異常通信判別方法および異常通信対処システム - Google Patents
[go: Go Back, main page]

JP7756066B2 - 異常通信判別装置、異常通信判別方法および異常通信対処システム - Google Patents

異常通信判別装置、異常通信判別方法および異常通信対処システム

Info

Publication number
JP7756066B2
JP7756066B2 JP2022205896A JP2022205896A JP7756066B2 JP 7756066 B2 JP7756066 B2 JP 7756066B2 JP 2022205896 A JP2022205896 A JP 2022205896A JP 2022205896 A JP2022205896 A JP 2022205896A JP 7756066 B2 JP7756066 B2 JP 7756066B2
Authority
JP
Japan
Prior art keywords
communication
anomalous
abnormal
information
event
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022205896A
Other languages
English (en)
Other versions
JP2024090178A (ja
JP2024090178A5 (ja
Inventor
真愉子 田中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2022205896A priority Critical patent/JP7756066B2/ja
Priority to US18/523,207 priority patent/US12452266B2/en
Publication of JP2024090178A publication Critical patent/JP2024090178A/ja
Publication of JP2024090178A5 publication Critical patent/JP2024090178A5/ja
Application granted granted Critical
Publication of JP7756066B2 publication Critical patent/JP7756066B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Human Computer Interaction (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、異常通信判別装置、異常通信判別方法および異常通信対処システムに係り、特に、業務に関する通信に異常が起こったときに、サイバー攻撃に起因するものか、装置の故障に起因するものかを判別するのに好適な異常通信判別装置、異常通信判別方法および異常通信対処システムに関する。
インターネットが爆発的に普及し、PCやスマートフォンなどのハードウェアが急速に進化する状況において、企業や個人の社会生活にとって、通信はなくてはならないものになってきている。
このような状況において、サイバー攻撃が情報化社会の重要なリスクとして懸念されてきている。サイバー攻撃とは、インターネットなどのネットワークを通じて、サーバやPC、スマートフォンなどのコンピュータに対して、保存されているデータの改ざんや破壊、窃取などを行う行為である。特に、近年のサイバー攻撃は、複雑化・巧妙化により、あらゆる企業が被害に合う可能性のある脅威であり、このようなサイバー攻撃に対処するためのサイバー攻撃対策(サイバーセキュリティ)は、情報システム部門などに限定して取り組むのみならず、経営課題、すなわち企業全体で取り組む必要のある重要な案件となる。
サイバー攻撃対策に関する技術としては、例えば、特許文献1に開示がある。特許文献1に記載された異常要因判定装置は、制御装置を含む制御システム内に設けられており、制御装置の動作状態を示す制御ステートを含む制御ステートデータ(図2、段落[0021])を保存し、その制御ステートデータに基づいて、制御システムで発生した異常の要因を、ネットワークを介した攻撃であるか、または機器の故障であるかを判別する(図3、段落[0024]、[0025])。
特開2019-205125号公報
特許文献1に記載された技術は、制御装置の動作状態を示す制御ステートに基づいて、制御システムで発生した異常の要因を、ネットワークを介した攻撃であるか、または機器の故障であるかを判別する方法を開示している。
しかしながら、特許文献1に記載された通信異常の判定においては、制御装置の制御ステートを考慮した異常検知および要因判定を行うとしている(段落[0024])。例えば、制御装置が「停止中」の場合であっても、制御装置が通信の起点となる場合には、攻撃の要因は「成りすまし」であり、制御装置が「起動中」の場合であり、かつ、プログラムの書き換えを要求する通信を検知した場合には、不正操作であると判定する(段落 [0025])。
そのため、特許文献1に記載された通信異常の判定では、業務の実行において発生する制御通信やセンサ出力等の通信を悪用する攻撃、例えば、特定のターゲットに対して、DoS攻撃/DDoS攻撃が行われる場合、異常通信が、サイバー攻撃によるものか、装置の故障によるものかを判定することはできない。
なお、特許文献1には、段落[0026]には、「分析部142は、ネットワークデータに関して異常パターンとのマッチングや正常時との乖離度等を分析することで異常を検知し、異常を検知した場合、その要因が攻撃によるものか故障によるものかを判別してもよい」とあるが、これは通信が正常か異常かを分析するものであり、異常通信が、サイバー攻撃によるものか、装置の故障によるものかを判定するものではない。
本発明の目的は、業務に関する通信に異常が起こったときに、サイバー攻撃に起因するものか、装置の故障に起因するものかを簡易にかつ合理的に判別することができる異常通信判別装置、異常通信判別方法および異常通信対処システムを提供することにある。
本発明の異常通信判別装置の構成は、好ましくは、装置が動作する監視対象システムで検知された異常通信の要因を判別する異常通信判別装置であって、異常通信検知事象ごとに、異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかを示す判別事象区分を記憶するレコードを格納する事象的特徴テーブルと、異常通信の統計量の成立する条件ごとに、異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかを示す判別事象区分を記憶するレコードを格納する統計的特徴テーブルとを保持し、前記監視対象システムにおける異常通信検知情報を受信し、受信した異常通信検知情報に基づいて、前記事象的特徴テーブルの異常通信検知情報の該当するレコードの判別事象区分の値が、異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかの各々の数から、事象的評価値を算出し、受信した異常通信検知情報から異常通信の統計量を算出し、算出した異常通信の統計量に基づいて、前記統計的特徴テーブルの異常通信の統計量の成立する条件があてはまるレコードの異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかの各々の数から、統計的評価値を算出し、前記事象的評価値と前記統計的評価値とに基づいて、異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかを示す判別結果評価値を算出し、前記判別結果評価値により異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかの判別を行う。
本発明によれば、業務に関する通信に異常が起こったときに、サイバー攻撃に起因するものか、装置の故障に起因するものかを簡易にかつ合理的に判別することができる異常通信判別装置、異常通信判別方法および異常通信対処システムを提供することができる。
異常通信対処システムの構成図である。 通信監視装置の機能構成図である。 異常通信判別装置の機能構成図である。 管理者端末の機能構成図である。 異常通信対処装置の機能構成図である。 通信監視装置のハードウェア・ソフトウェア構成図である。 異常通信対処装置のハードウェア・ソフトウェア構成図である。 管理者端末のハードウェア・ソフトウェア構成図である。 異常通信判別装置のハードウェア・ソフトウェア構成図である。 装置情報テーブルの一例を示す図である。 ホワイト通信テーブルの一例を示す図である。 業務情報テーブルの一例を示す図である。 制御情報テーブルの一例を示す図である。 制御コマンドの一例を示す図である。 事象的特徴情報テーブルの一例を示す図である。 統計的特徴情報テーブルの一例を示す図である。 判別結果情報データの一例を示す図である。 異常通信対処情報テーブルの一例を示す図である。 異常通信対処システムの処理を示すシーケンス図である。 異常通信の事象区分判別処理の詳細を示すフローチャートである。 管理者端末が表示する異常通信対処画面の一例を示す図である。
本発明は、NEDOが推進する総合科学技術・イノベーション会議の戦略的イノベーション創造プログラム(SIP)第2期「IoT社会に対応したサイバー・フィジカル・セキュリティ」に関する。
以下、本発明の一実施形態を、図1ないし図18を用いて説明する。
先ず、図1ないし図6Dを用いて一実施形態に係る異常通信対処システムの構成について説明する。
本実施形態の異常通信対処システムは、サイバーフィジカルシステム(Cyber-Physical System)において検知された異常通信に関して、サイバー攻撃に起因する異常と、故障に起因する異常かのいずれかを判別するシステムである。
ここで、サイバーフィジカルシステムとは、現実であるフィジカル世界の情報をサイバー世界であるコンピューターシステム上で収集し、分析したのちにフィジカル世界へ分析結果をフィードバックして活用していくシステムである。本実施形態では、サイバーフィジカルシステムの一例としてセンサから収集した情報を分析して生産を制御する工場IoTシステムを例に撮り説明する。なお、IoT(Internet of Things)とは、様々な「モノ(Things)」がインターネットに接続され、情報交換することにより相互に制御する仕組みをいう。
異常通信対処システム1は、図1に示されるように、監視対象システム5、通信監視装置20、異常通信対処装置30、ネットワークスイッチ40、管理者端末60、異常通信判別装置100を含んで構成される。
異常通信対処システム1は、監視対象システム5において通信監視装置20が検知した異常通信を評価し、評価結果に基づきその異常通信がサイバー攻撃によるものなのか監視対象システム5を構成する装置の故障によるものなのかを判別する機能を有する。なお、異常通信を評価するロジックについては後に詳説する。
監視対象システム5は、IoTシステムであり、単数あるいは複数のコントローラ61、単数あるいは複数のアクチュエータ71、単数あるいは複数のセンサ72、制御サーバ50を含む構成である。
監視対象システム5に含まれる装置は、通信ネットワークを介した双方向通信が可能な情報処理装置として機能する。
制御サーバ50と各コントローラ61との間は、第1ネットワークN1により接続されて各々が通信できるようになっている。また、各コントローラ61と各アクチュエータ71、各センサ72との間は、第2ネットワークN2により接続されて各々が通信できるようになっている。第1ネットワークN1は、監視対象システム5が産業向けIoTシステムの場合、例えば、通信プロトコルがModbusのような制御ネットワークであり、第2ネットワークN2は、例えば、通信プロトコルがMQTT(Message Queuing Telemetry Transport)のようなフィールドネットワークである。なお、フィールドネットワークとは、FA(Factory Automation)業界において、稼働状況などを集約した上位のパソコン/サーバから、装置を制御しているPLC(Programmable Logic Controller)などのコントローラ、状態を監視するセンサや測定器、位置決めなどに使用するサーボモータなどの駆動機器を接続するネットワークをいう。
制御サーバ50は、第1ネットワークN1を介して監視対象システム5全体の動作を監視する機能を有するサーバ装置である。制御サーバ50は、サーバ上やコントローラ61で動作する制御プログラムのロジックの変更・更新を行う機能を含んでもよい。
コントローラ61は、制御サーバ50から第1ネットワークN1を介して受信した指令コマンドに従って、第2ネットワークN2を介して接続されている各アクチュエータ71、および、各センサ72を動作させる制御を行う。コントローラ61は、例えば、制御サーバの命令にしたがってアクチュエータ71にモータの回転数等、動作の設定値を設定したり、センサ72が出力する情報を収集したりするPLC等である。
アクチュエータ71は、コントローラ61からの命令に基づき、能動的に物理的運動を行う機械要素である。アクチュエータ71は、例えば、コントローラ61からの命令に基づき設定された設定値に従って、バルブ、モータ、または電動機等を実際に動かす機器である。
センサ72は、温度、流量、もしくは圧力等を計測し、その計測値を出力する装置である。
図1に示されるように、通信監視装置20、異常通信対処装置30、管理者端末60、異常通信判別装置100は、いずれも管理系ネットワークN3を介して、各アクチュエータ71および各センサ72と双方向通信が可能な状態で接続している。
第1のネットワークN1と第2のネットワークN2は、ネットワークスイッチ40のモニタポート41a、モニタポート42aに接続されており、通信監視装置20は、ネットワークスイッチ40のミラーポート41b、ミラーポート42bに接続されていて、ネットワークスイッチ40は、モニタポート41aで受信された第1のネットワークN1のパケットをコピー(ミラーリング)し、ミラーポート41bから通信監視装置20に送信し、モニタポート42aで受信された第2のネットワークN2の通信パケットをコピーし、ミラーポート42bから通信監視装置20に送信する。
通信監視装置20は、ミラーポート41、42を介して、監視対象システム5の第1ネットワークN1および第2ネットワークN2における通信パケットを収集し、分析することにより、第1ネットワークN1と第2ネットワークN2における異常通信を検知する。
異常通信対処装置30は、管理系ネットワークN3を介して、監視対象システム5および異常通信判別装置100と接続され、両者と通信する。異常通信対処装置30は、監視対象システム5の各装置に対する処理権限を有しており、管理者端末60から対処命令を受信し、受信した対処命令を、当該対処対象装置が実行または処理可能な制御コマンドまたは制御ロジックプログラムに変換し、変換した制御コマンドまたは制御ロジックプログラムを監視対象システム5の装置(コントローラ61、アクチュエータ71、センサ72)に送信することにより、当該装置に異常通信に対処する処理を実行させる。
異常通信判別装置100は、通信監視装置20から受信した異常通信検知情報に対して、異常通信を事象的観点と統計的観点の二つの観点で評価し、その評価結果に基づき、異常通信がサイバー攻撃によるものか装置の故障によるものかを判別して、判別結果を含む判別結果情報を生成して、管理者端末60に送信する。
管理者端末60は、管理系ネットワークN3を介して、異常通信判別装置100および異常通信対処装置30と接続され、両者と通信する。管理者端末60は、異常通信判別装置100から受信した異常通信の判別結果に基づき、異常通信の要因に適した対処策と判別結果を管理者2に表示して提示する端末である。また、提示内容に対する運用者の対処策の選択に従い、異常通信に対処情報を異常通信対処装置30に送信する。
なお、上記の第1ネットワークN1、第2ネットワークN2、管理系ネットワークN3は、例えば、LAN(Local Area Network)、インターネットのようなWAN(Wide Area Network)、または専用線等の有線または無線の通信ネットワークとして構成することができる。
次に、図2ないし図5を用いて異常通信対処システムの各装置の機能構成を説明する。
通信監視装置20は、監視対象システム5の通信パケットを収集し、分析して異常通信を検知し、異常通信検知情報を異常通信判別装置100に送信する装置である。
通信監視装置20は、図2に示されるように、機能構成として、異常通信検知部21、システム情報管理部22、異常通信検知情報送信部23、記憶部24からなる。
異常通信検知部21は、ネットワークスイッチ40のミラーポート41b、42bをそれぞれから、監視対象システム5の第1ネットワークN1および第2ネットワークN2に流れる通信パケットを各々収集する。そして、異常通信検知部21は、収集した通信パケットを分析し、(1)ヘッダ情報(データ送信元の装置およびデータ送信先の装置のIPアドレス、通信プロトコル、およびポート番号等)と、ペイロードに含まれる(2)制御コマンドおよび(3)パラメータとを取得する。また、異常通信検知部21は、制御コマンドに関し、通信数の変化等の(4)統計情報を生成する。
そして、異常通信検知部21は、後述するシステム情報管理部22を介してアクセスするシステム情報テーブル類220が示す監視対象システム5の仕様と、上記(1)~(4)の分析情報とを比較することにより、監視対象システム5での通信が異常通信であるか否かを判定し、異常通信であると判定した場合には、その異常通信に関する情報を含む異常通信情報を異常通信検知情報送信部23に送信する。
異常通信は、例えば、特定の回線や装置から通信パケットの送信が異常に多い、装置の動作パラメータが正常の範囲から逸脱しているなどの事象により判定される。
異常通信に関する情報とは、通信の一般的情報、異常通信を検知したという情報と、システムが検知した検知事象の情報である。
異常通信検知情報送信部23は、受け取った異常通信情報を管理ネットワークN3により異常通信判別装置100に送信する。
記憶部24は、システム情報テーブル類220を保持する機能部である。システム情報テーブル類220は、装置情報テーブル221、ホワイト通信テーブル222、業務情報テーブル223、制御情報テーブル224がある。なお、システム情報テーブル類220の各々の詳細は、後に説明する。
システム情報管理部22は、記憶部24に保持されたシステム情報テーブル類220のアクセスを行う機能部である。
異常通信判別装置100は、通信監視装置20から受信した異常通信情報に基づいて、システムで検知した異常通信を事象的観点と統計的観点の二つの観点で評価し、その評価結果に基づきサイバー攻撃によるものであるかシステムの装置の故障によるものかを判別して、判別結果を含む判別結果情報を生成して管理者端末60に送信する。
異常通信判別装置100は、図3に示されるように、機能構成として、異常通信検知情報受信部120、事象的評価部130、統計的評価部140、異常通信区分判別部150、対管理者端末通信部160、特徴情報管理部110、記憶部170からなる。
異常通信検知情報受信部120は、通信監視装置20が検知した異常通信検知情報を、管理ネットワークN3を介して受信する。
事象的評価部130は、特徴情報管理部110の機能により事象的特徴情報テーブル111を参照し、検知事象に紐付くサイバー攻撃における事象的特徴、および、故障における事象的特徴との一致数から、異常通信サイバー攻撃によるものかとシステムの装置の故障によるものかを評価する(詳細なロジックは、後述)。
統計的評価部140は、特徴情報管理部110の機能により統計的特徴情報テーブル112を参照し、検知事象に紐付くサイバー攻撃における統計的特徴、および、故障における統計的特徴との一致数から異常通信かサイバー攻撃によるものかとシステムの装置の故障によるものかを評価する(詳細なロジックは、後述)。
異常通信区分判別部150は、事象的評価部130と統計的評価部140の評価結果に基づき異常通信の要因について、異常通信サイバー攻撃によるものかとシステムの装置の故障によるものかを判別する(詳細なロジックは、後述)。
対管理者端末通信部160は、異常通信区分判別部150の判別結果と異常通信検知事象情報を含む判別結果情報を生成し、管理者端末60に送信する。
記憶部170は、事象的特徴情報テーブル111、統計的特徴情報テーブル112を保持する機能部である。
特徴情報管理部110は、記憶部170に保持された事象的特徴情報テーブル111と統計的特徴情報テーブル112にアクセスするための機能部である。
管理者端末60は、異常通信に関する情報を受信して、管理者2に提示し、それに対処するための方策を選択させる端末である。管理者端末60は、図4に示されように、機能部として、判別結果受信部68、異常通信対処処理部62、異常通信対処情報提示部63、異常通信対処命令生成部64、異常通信対処命令送信部65、異常通信対処情報管理部66、記憶部67からなる。
判別結果受信部68は、異常通信判別装置100から異常通信の判別結果を、管理ネットワークN3を介して受信する。
異常通信対処処理部62は、異常通信対処情報テーブル400により異常通信対処情報を取り出し、異常通信対処情報提示部63に送信し、管理者2の選択した異常通信の対処の方策に関する情報を、異常通信対処命令生成部64に送信する。
異常通信対処情報提示部63は、異常通信対処情報を管理者2に提示し、管理者2より選定された異常通信の対処の方策に関する情報を対処命令生成部64に送信する。なお、管理者端末が、異常通信対処情報を管理者2に提示し、管理者2に異常通信の対処の方策を選択させるユーザインタフェースについては、後に説明する。
異常通信対処命令生成部64は、異常通信対処処理部62から送られた異常通信の対処の方策に関する情報に基づき、異常通信対処命令を生成し、異常通信対処命令送信部65に送信する。
異常通信対処命令送信部65は、異常通信対処命令生成部64から送られた異常通信対処命令を異常通信対処装置30に、管理ネットワークN3を介して送信する。
記憶部67は、異常通信対処情報テーブル400を保持する機能部である。
異常通信対処情報管理部66は、記憶部67に保持された異常通信対処情報テーブル400にアクセスする機能部である。
異常通信対処装置30は、管理者端末60から管理ネットワークN3により、異常通信の対処に関する情報を受信し、受信した異常通信の対処に関する情報に基づき、異常通信対処装置30が処理権限を有する監視対象システム5の装置(コントローラ61、アクチュエータ71、センサ72)に対して、制御コマンドまたは制御ロジックプログラムを送信する。なお、制御ロジックプログラムとは、例えば、所定の処理や演算を実行することで実現されるコントローラのシーケンスの制御処理ソフトウェアである。
異常通信対処装置30は、図5に示されるように、機能構成として、異常通信対処情報受信部31、制御ロジック構成部32、制御情報送信部33、制御ロジック管理部34、記憶部35を有する。
異常通信対処情報受信部31は、管理者端末60から管理ネットワークN3により、異常通信の対処に関する情報を受信し、制御ロジック構成部32に送信する。
制御ロジック構成部32は、制御ロジック管理部34によりコマンドデータ301パラメータデータ302ロジックデータ303を参照して、異常通信の対処に関する情報に対応した監視対象システム5の装置に送信する制御コマンドまたは制御ロジックプログラムなどの制御情報を生成し、生成した制御情報を制御情報送信部33に送信する。ロジックデータ303は、制御コマンドの発行順など制御のためのアルゴリズムを記述したデータである。
制御情報送信部33は、監視対象システム5の装置に対して、制御ロジック構成部32が構成した制御コマンドまたは制御ロジックプログラムなどの制御情報を送信することにより、制御処理を実行させる。
その後、制御情報送信部33は、当該監視対象システム5の装置から、当該制御処理の実行結果のリターン情報を受信し、受信したリターン情報を異常通信対処情報受信部31に送信する。
制御ロジック管理部34は、記憶部35に保持されたコマンドデータ301、パラメータデータ302、ロジックデータ303にアクセスする機能部である。
記憶部35は、監視対象システム5内の各装置が対応している制御ロジックプログラムおよび制御コマンドを構成するためのコマンドデータ301、パラメータデータ302、ロジックデータ303を保持している。
なお、監視対象システム5の装置に送信される制御コマンドの具体例は、後に説明する。
次に、図6Aないし図6Dを用いて異常通信対処システムを構成する装置の各コンポーネントのハードウェア・ソフトウェア構成について説明する。
通信監視装置20は、ハードウェア構成として、図6Aに示されるように、プロセッサ201、メインメモリ202、ネットワークI/F203、補助記憶I/F204、補助記憶装置210が互いにバス等の内部通信線で接続された形態である。
プロセッサ201は、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)と呼ばれる半導体デバイスであり、補助記憶装置210からメインメモリ202にロードされた各種プログラムを実行し、装置の各種機能を実現して、装置全体を制御する。メインメモリ202は、プログラムとワークデータを記憶する半導体デバイスであり、例えば、不揮発性の記憶素子であるROMおよび揮発性の記憶素子であるRAMである。ここで、ROMは、不変のプログラム(例えば、BIOS、Firmware)などを格納し、RAMは、例えばDRAM(Dynamic Random Access Memory)のような高速かつ揮発性の記憶素子であり、プロセッサ201が実行するプログラムおよびプログラムの実行時に使用されるデータを一時的に格納する。
ネットワークI/F203は、ネットワークと接続するインタフェース回路であり、所定のプロトコルに従って、ネットワークスイッチ40からの第1のネットワークN1と第2のネットワークN2に接続された監視対象システム5の装置の通信パケットを収集し、管理ネットワークN3に接続された各装置と通信パケットの送受信を行う。
補助記憶装置210は、プロセッサ201が実行するプログラムや実行時に使用されるデータを格納する装置であり、例えば、磁気記憶装置(HDD:Hard Disk Drive)、フラッシュメモリ(SSD:Solid State Drive)等の不揮発性の記憶装置である。
補助記憶装置210には、異常通信検知プログラム211、システム情報管理プログラム212、異常通信検知情報送信プログラム213がインストールされている。
異常通信検知プログラム211、システム情報管理プログラム212、異常通信検知情報送信プログラム213は、それぞれ異常通信検知部21、システム情報管理部22、異常通信検知情報送信部23の機能を実現するプログラムである。
また、補助記憶装置210には、システム情報テーブル類220が記憶されている。
上記の説明では、通信監視装置20は、汎用の情報処理装置が各機能をソフトウェアで実現する例を説明したがFPGA(Field-Programmable Gate Array)、ASIC(Application Specific Integrated Circuit)で実現される専用装置であってもよい。
異常通信対処装置30のハードウェア構成も、図6Bに示されるように、上記の通信監視装置20と同様である。異常通信対処装置30も汎用の情報処理装置が各機能をソフトウェアで実現してもよいし、専用装置で実現するものであってもよい。
異常通信対処装置30の補助記憶装置310には、異常通信対処情報受信プログラム311、制御ロジック構成プログラム312、制御情報送信プログラム313、制御ロジック管理プログラム314がインストールされている。
異常通信対処情報受信プログラム311、制御ロジック構成プログラム312、制御情報送信プログラム313、制御ロジック管理プログラム314は、それぞれ異常通信対処情報受信部31、制御ロジック構成部32、制御情報送信部33、制御ロジック管理部34の機能を実現するプログラムである。
また、異常通信対処装置30の補助記憶装置310には、コマンドデータ301、パラメータデータ302、ロジックデータ303が記憶されている。
異常通信判別装置100のハードウェア構成も、図6Cに示されように、上記の通信監視装置20と同様である。異常通信判別装置100も汎用の情報処理装置が各機能をソフトウェアで実現してもよいし、専用装置で実現するものであってもよい。
異常通信判別装置100の補助記憶装置1010には、特徴情報管理プログラム1011、異常通信情報受信プログラム1012、事象的評価プログラム1013、統計的評価プログラム1014、異常通信区分判別プログラム1015、対管理者端末通信プログラム1016がインストールされている。
特徴情報管理プログラム1011、異常通信情報受信プログラム1012、事象的評価プログラム1013、統計的評価プログラム1014、異常通信区分判別プログラム1015、対管理者端末通信プログラム1016は、それぞれ特徴情報管理部110、異常通信検知情報受信部120、事象的評価部130、統計的評価部140、異常通信区分判別部150、対管理者端末通信部160の機能を実現するプログラムである。
また、異常通信判別装置100の補助記憶装置1010には、事象的特徴情報テーブル111、統計的特徴情報テーブル112が記憶されている。
管理者端末60のハードウェア構成としては、図6Dに示されように、一般のPCやワークステーション、タブレットなどの上記の通信監視装置20の構成と同じもので実現することができる。
管理者端末60の補助記憶装置610には、判別結果受信プログラム611、異常通信対処処理プログラム612、異常通信対処情報提示プログラム613、異常通信対処命令生成プログラム614、異常通信対処命令送信プログラム615、異常通信対処情報管理プログラム616がインストールされている。
判別結果受信プログラム611、異常通信対処処理プログラム612、異常通信対処情報提示プログラム613、異常通信対処命令生成プログラム614、異常通信対処命令送信プログラム615、異常通信対処情報管理プログラム616は、それぞれ判別結果受信部68、異常通信対処処理部62、異常通信対処情報提示部63、異常通信対処命令生成部64、異常通信対処命令送信部65、異常通信対処情報管理部66の機能を実現するプログラムである。
また、管理者端末60の補助記憶装置610には、異常通信対処情報テーブル400が記憶されている。
また、管理者端末60は、表示I/F606と入出力I/F607を有している。
表示I/F606は、LCD(Liquid Crystal Display)などの表示装置620を接続するためのインタフェースである。
入出力I/F607は、入出力装置を接続するためのインタフェースである。入出力I/F607には、例えば、キーボード630とポインティングデバイスのマウス632などが接続されている。
次に、図7ないし図15を用いて異常通信対処システムで用いられるデータ構造について説明する。
システム情報テーブル類220は、通信監視装置20が保持するテーブルのグループであり、通信に異常があるかないかを判定するために用いられる。システム情報テーブル類220は、装置情報テーブル221、ホワイト通信テーブル222、業務情報テーブル223、制御情報テーブル224がある。
装置情報テーブル221は、監視対象システム5内の装置に関する情報を保持するテーブルであり、図7に示されるように、装置ID221a、装置名221b、IPアドレス221c、代替装置ID221d、型式情報221e、装置仕様情報221f、実行環境要件情報221g、業務ID221hの各フィールドを有する。
装置ID221aには、装置を一意に識別するための識別子が格納される。装置名221bには、装置名称が格納される。IPアドレス221cには、装置に付与されたIPアドレスが格納される。代替装置ID221dには、装置に異常があった場合にその装置を代替し業務を継続する代替装置の識別子が格納される。型式情報221eには、製造企業が付与した装置の型式(モデルNO)が格納される。装置仕様情報221fには、装置の仕様に関する情報(例えば、コントローラ61ならメモリ容量、動作クロック、アクチュエータ71なら動作速度、センサ72なら計測範囲、計測能など)が格納される。実行環境要件情報221gには、装置が使用される環境に関する情報(例えば、動作電圧、正常動作のための温度など)が格納される。業務ID221hには、装置が担う業務の業務識別子が格納される。
ホワイト通信テーブル222は、監視対象システム5内の通信に関して、ホワイトリスト通信を行うための通信情報を格納するためのテーブルであり、図8に示されるように、ホワイト通信ID222a、通信プロトコル222b、送信元IPアドレス222c、宛先IPアドレス222d、送信元ポート番号222e、宛先ポート番号222fの各フィールドを有する。ここで、ホワイトリスト通信とは、許可された通信のみ通信することを許可する、または、通信に関する異常判定を緩和するようにした通信の仕方をいう。
ホワイト通信ID222aには、ホワイト通信を一意に表すIDが格納される。通信プロトコル222bには、通信のプロトコルを表す識別子または名称(「TCP/IP」など)が格納される。送信元IPアドレス222c、宛先IPアドレス222dには、通信パケットの送信元と宛先のそれぞれのIPアドレスが格納される。送信元ポート番号222e宛先ポート番号222fには、通信パケットの送信元と宛先のそれぞれのポート番号が格納される。
業務情報テーブル223は、監視対象システム5内で行われる業務に関する情報を格納するテーブルであり、図9に示されるように、業務ID223a、業務名223b、稼働時刻223c、優先順位223d、通信IDリスト223eの各フィールドを有する。
業務ID223aには、業務を一意に識別する識別子が格納される。業務名223bには、その業務の名称が格納される。稼働時刻223cには、その業務が実行される時間帯を示す稼働時刻の情報が格納される。優先順位223dには、業務の優先順位を表す情報が番号などで格納される。通信IDリスト223eには、その業務を担う通信IDのリストが格納される。
制御情報テーブル224は、業務で使われる装置の制御情報を格納するテーブルであり、図10に示されるように、通信ID224a、制御プロトコル224b、制御コマンド224c、制御パラメータ224d、通信周期224eの各フィールドを有する。
通信ID224aには、装置との通信を一意に表すIDが格納される。制御プロトコル224bには、制御のための通信に関するプロトコルを表す識別子または名称が格納される。制御コマンド224cには、監視対象システム5の装置に与える制御コマンドに関する情報(コマンド名、コマンド識別子など)が格納される。制御パラメータ224dには、制御コマンドのパラメータの情報が格納される。通信周期224eには、制御の通信パケットが送受信される周期が格納される。
制御コマンド80は、監視対象システム5の装置を制御するためのコマンドであり、本実施形態では、異常通信に対処するために、異常通信対処装置30から監視対象システム5の装置に与えられ、通信パケットのペイロードに格納される情報である。
制御コマンド80は、図11に示されるように、例えば、制御プロトコル80a、制御コマンド80b、制御パラメータ80cのフィールドからなる。
図11の例のプロトコル80aが「Modbus/TCP」の例は、PLCなどのコントローラ61を制御するためのコマンドであり、プロトコル80aが「MQTT」の例は、PLCなどのアクチュエータ71、センサ72を制御するためのコマンドを意図している。
事象的特徴情報テーブル111は、異常通信判別装置100が異常通信を事象的特徴から評価する(詳細は後述)ときに用いられる情報を格納するテーブルであり、図12に示されるように、異常通信検知事象ID111a、異常通信検知事象111b、判別事象111c、判別事象区分111dの各フィールドからなる。
異常通信検知事象ID111aには、異常通信検知事象を一意に識別するための識別子が格納される。異常通信検知事象111bには、異常通信検知事象を説明するテキストが格納される。判別事象111cには、監視対象システムで発生している可能性の高い攻撃や故障等の事象を説明するテキストが格納される。判別事象区分111dには、異常通信がサイバー攻撃によるものか装置の故障であるものかを示すフラグが格納される。
異常通信検知事象111b、判別事象111cのテキストは、管理者2に示す管理者端末60の異常通信対処画面(詳細は後述)の内容として表示するために用いることができる。
統計的特徴情報テーブル112は、異常通信判別装置100が異常通信を統計量の特徴から評価する(詳細は後述)ときに用いられる情報を格納するテーブルであり、図13に示されるように、統計的特徴ID112a、統計的特徴112b、判別条件112c、条件式112d、判別事象区分112eの各フィールドからなる。
統計的特徴112aには、統計的な特徴を一意に識別するため識別子が格納される。統計的特徴112bには、統計的な特徴を説明するテキストが格納される。判別条件112cには、受信した検知情報を統計的に分析し、異常通信の示す統計量から異常通信がどの統計的特徴に一致するか判別するため判別条件が格納される。条件式112dには、判別条件112cに示される条件により組み立てられた判別式が格納される。判別事象区分112eには、異常通信がサイバー攻撃によるものか装置の故障であるものかを示すフラグが格納される。
ここで、統計的特徴ID112aが「SP1」のレコードでは、単位時間当たりの同種異常通信の発生元の数が所定の閾値の範囲にあり、単位時間当たりの同種異常通信の発生数が所定の閾値より小さいため、サイバー攻撃ではなく、異常通信が、装置の故障によるものであると判別している。
判別結果情報データ500は、異常通信判別装置100から管理者端末60に送信されるデータであり、図14に示されるように、異常通信検知事象情報500a、判別情報500bからなる。
異常通信検知事象情報500aには、図14に示されるような異常通信検知事象の情報、異常通信の情報、装置情報を含み、判別情報500bには、事象的特徴評価結果、統計特徴評価結果、判別結果情報を含む。
異常通信対処情報テーブル400は、異常通信検知事象と異常通信判別装置が判別した異常通信の事象区分に基づいた対処策の情報を格納するテーブルであり、図15に示されるように、対処情報ID400a、異常通信検知事象400b、事象区分400c、対処策400dの各フィールドからなる。
対処情報ID400aには、異常通信対処情報を一意に識別するための識別子が格納される。異常通信検知事象400bには、異常通信検知事象を説明するテキストが格納される。事象区分400cには、異常通信判別装置が判別した異常通信がサイバー攻撃によるものか装置の故障であるものかを示すフラグが格納される。対処策400dには、異常通信検知事象400bと事象区分400cに対応した管理システムとしてとるべき対処策を示すテキストが格納される。
次に、既に述べた図12、図13と、図16、図17を用いて異常通信対処システムの処理について説明する。
先ず、通信監視装置20は、第1のネットワークN1、第2のネットワークN2の通信パケットをネットワークスイッチ40から受信し、異常通信を監視する(A01、S101)。そして、異常通信を検知すると(S102)、その異常通信検知情報データを異常通信判別装置100に送信する(A02)。
次に、異常通信判別装置100は、受信した異常通信検知情報データに基づき、異常通信の事象区分判別処理を行い(S111)、異常通信検知情報と事象区分判別結果情報を含む判別結果情報データ(詳細は後述)を管理者端末60に送信する(A03)。
なお、異常通信の事象区分判別処理の詳細は、後に説明する。
次に、管理者端末60は、異常通信判別装置100から受信した判別結果情報データおよび異常通信対処情報テーブル400に基づき、異常通信検知情報と事象区分判別結果情報のデータを編集して、異常通信対処画面(具体例は後述)を表示装置620に表示し(S121)、管理者2に提示する。
管理者2が異常通信対処画面に表示される異常通信の対処策を選択すると(A04)、管理者端末60は、異常通信の対処策の情報を取得し(S122)、それに従った異常通信対処情報データを生成し(S123)、異常通信検知情報と対処策を含む異常通信対処情報データを異常通信対処装置30に送信する(A05)。
異常通信対処装置30は、送信された異常通信対処情報データに基づき、監視対象システム5の該当する装置を特定し(S131)、送信する制御コマンドを生成し(S132)、監視対象システム5の該当する装置に送信する(A06)。
次に、図17を用いて異常通信の事象区分判別処理の詳細を説明する。
先ず、異常通信判別装置100の事象的評価部130は、事象的特徴情報テーブル111を参照し、受信した異常情報検知情報の内容が合致する異常通信検知事象111bの事象的特徴情報テーブル111のレコードを取り出し、そのレコードの判別事象区分111dの値を取得し、その値が「サイバー攻撃」であるか、「故障」であるかの各々の数をカウントする(S201)。
そして、以下の(式1)により、異常通信の事象的評価値EventEvalを算出する(S202)。
EventEval=e×EC+e×EF …(式1)
ここで、ECは、取得したレコードの判別事象区分111dの値が「サイバー攻撃」であるものの数、EFは、取得したレコードの判別事象区分111dの値が「故障」であるものの数、e、eは、評価のための最適化係数である。
評価のための最適化係数は、e>eになるように取っておく(例えば、e=1、e=-1)。この評価のための最適化係数は、システムエンジニアのノウハウやシステムの装置における状況などで重み付けする方策が考えられる。例えば、特定の日付にサイバー攻撃が多くなるときには、eを大きくする、装置の使用年数が所定期間の耐用年数を超えたときに、eを大きくするなどである。
=1、e=-1ととった場合には、事象的評価値EventEvalが正の値ならサイバー攻撃の可能性が大きいことを示し、値が大きい程、サイバー攻撃の可能性が高いことを意味する。また、逆に、e=1、e=-1ととった場合には、事象的評価値EventEvalが負の値なら故障の可能性が大きいことを示し、値が小さい程、故障の可能性が高いことを意味する。e=1、e=-1ととった場合に、事象的評価値EventEvalが負の値は、異常通信がサイバー攻撃によるものか装置の故障によるものかを判別しがたいことを意味する。
次に、異常通信判別装置100の統計的評価部140は、受信した異常通信検知情報より、通信に関する統計情報を取得する(S203)。通信に関する統計情報とは、具体的には、各種の異常通信の統計量、すなわち、単位時間当たりの異常通信の増加量、特定通信の単位時間当たりの異常通信の増加量、単位時間当たりの同種異常通信の発生元の数、単位時間当たりの同種異常通信の発生数等である。
次に、異常通信判別装置100の統計的評価部140は、S203で算出した統計情報が統計的特徴情報テーブル112に格納されている判別条件112cと条件式112dの内容を満たすレコードを取得し、そのレコードの判別事象区分112eの値を取得し、その値が「サイバー攻撃」であるか、「故障」であるかの各々の数をカウントする(S204)。
そして、以下の(式2)により、異常通信の統計的評価値StatEvalを算出する(S205)。
StatEval=s×SC+s×SF …(式2)
ここで、SCは、取得したレコードの判別事象区分112eの値が「サイバー攻撃」であるものの数、SFは、取得したレコードの判別事象区分112eの値が「故障」であるものの数、s、sは、評価のための最適化係数である。
評価のための最適化係数は、s>sになるように取っておく(例えば、s=1、s=-1)。この評価のための最適化係数においても、同様に、システムエンジニアのノウハウやシステムの装置における状況などで重み付けする方策が考えられる。
評価のための最適化係数とサイバー攻撃の可能性、装置の故障の可能性については、事象的評価値で説明したことと同様である。
次に、異常通信判別装置100の異常通信区分判別部150は、S202で算出した事象的評価値EventEvalと、S205で算出した統計的評価値StatEvalに基づき、以下の(式3)により、判別結果評価値Evalを算出する(S206)。
Eval=k×EventEval+k×StatEval …(式3)
ここで、k、kは、それぞれ事象的評価と統計的評価との評価付けに対する重み係数である。
評価のための重み係数k、kの値は、事象的評価と統計的評価のいずれかを重視するかを示す係数である。同等の場合は、k=1、 k=1とする。また、管理者2が事象的評価と統計的評価のいずれかを重視するかにより定めることができる。
また、事象的評価のための最適化係数e、e、統計的評価のための最適化係数s、s、最終的な判別結果の重み係数k、kについては、学習データによる学習により定めてもよい。
次に、異常通信判別装置100の異常通信区分判別部150は、S206で算出した判別結果評価値Evalに基づき、以下の説明のように、(式4)により、判別結果評価Resultを算出する。判別結果評価は、判別結果評価値Evalに基づいて、異常通信に対する評価を、テキストで表したものである。
判別結果評価値Evalは、事象的評価値EventEvalにおける最適係数e、e、統計的評価値StatEvalにおける最適化係数s、s、判別結果評価値Evalの重み係数k、k、の取り方により、判別結果評価値Evalの値が大きいほど、異常通信がサイバー攻撃によるものであり、装置の故障によるものでないことになる。
したがって、五段階で評価するときには、四つの閾値(Th,Th,Th,Th)を、Th>Th>Th>Thになるようにとり、
Eval≧Thのとき、Result=”サイバー攻撃”
Th≧Eval>Thのとき、Result=”サイバー攻撃の可能性あり”
Th≧Eval>Thのとき、Result=”サイバー攻撃/故障”
Th≧Eval>Thのとき、Result=”故障の可能性あり”
Eval>Thのとき、Result=”故障”
…(式4)
次に、図18を用いて管理者端末が表示する異常通信対処画面について説明する。
図18は、管理者端末が表示する異常通信対処画面の一例を示す図である。
異常通信対処画面900は、通信監視装置20が検知した異常通信検知情報と異常通信判別装置100が異常通信に対してサイバー攻撃によるものか装置の故障によるものかを判別した結果に基づいて、異常通信に対処を選択させるために、管理者端末60が表示する画面である。
異常通信対処画面900は、図18に示されるように、検知異常通信情報表示欄910、対処策選択欄920には、異常通信対処情報テーブル400の対処策400dの内容を編集し、単数または複数の対策が、「[対処策1] コントローラ1 」を代替装置「コントローラ2」へ切替」のように表示される。対処策選択欄920には、各々の対策を選択するための実施するボタン921、実施しないボタン922を有している。実施するボタン921、実施しないボタン922は、排他的なトグルボタンになっている。
管理者2が、その対策を選択するときには、実施するボタン921をクリックして選択し、その対策を選択しないときには、実施しないボタン922をクリックして選択し、最後にOKボタン930をクリックする。また、入力内容をキャンセルするときには、キャンセルボタン931をクリックする。
以上、説明した様に本実施形態に係る異常通信対処システムでは、システムの装置上で検知された異常通信について、事象的な特徴に基づく評価と統計的な特徴に基づいてサイバー攻撃の特徴と故障特徴との一致数から要因の評価を行う。さらにこれらの二つの評価値に基づきサイバー攻撃と故障とを判別する判別結果値を求める。これにより、監視対象システムで検知された異常通信についてサイバー攻撃によるものかと、装置の故障によるものかを判別することができる異常通信判別装置を提供することができる。
このように、異常通信が発生したときに、サイバー攻撃と、故障とを判別することができるため事象に適した対処策を提案することが可能で、管理者は適切な対処を選択し、システムが迅速に異常通信に対応した対処策を行うことができるため、サイバー攻撃や故障による被害を少なく抑える効果も期待できる。
1…異常通信対処システム、5…監視対象システム、20…通信監視装置、30…異常通信対処装置、40…ネットワークスイッチ、60…管理者端末、100…異常通信判別装置、
220…システム情報テーブル類、221…装置情報テーブル、222…ホワイト通信テーブル、223…業務情報テーブル、224…制御情報テーブル、80… …制御コマンド、111…事象的特徴情報テーブル、112…統計的特徴情報テーブル、500…判別結果情報データ、400…異常通信対処情報テーブル

Claims (6)

  1. 装置が動作する監視対象システムで検知された異常通信の要因を判別する異常通信判別装置であって、
    異常通信検知事象ごとに、異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかを示す判別事象区分を記憶するレコードを格納する事象的特徴テーブルと、
    異常通信の統計量の成立する条件ごとに、異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかを示す判別事象区分を記憶するレコードを格納する統計的特徴テーブルとを保持し、
    前記監視対象システムにおける異常通信検知情報を受信し、
    受信した異常通信検知情報に基づいて、前記事象的特徴テーブルの異常通信検知情報の該当するレコードの判別事象区分の値が、異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかの各々の数から、事象的評価値を算出し、
    受信した異常通信検知情報から異常通信の統計量を算出し、
    算出した異常通信の統計量に基づいて、前記統計的特徴テーブルの異常通信の統計量の成立する条件があてはまるレコードの異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかの各々の数から、統計的評価値を算出し、
    前記事象的評価値と前記統計的評価値とに基づいて、異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかを示す判別結果評価値を算出し、前記判別結果評価値により異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかの判別を行うことを特徴とする異常通信判別装置。
  2. 前記事象的評価値は、異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかの各々のレコードの数の重み付け線形和により算出されることを特徴とする請求項1記載の異常通信判別装置。
  3. 前記統計的評価値は、異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかの各々のレコードの数の重み付け線形和により算出されることを特徴とする請求項1記載の異常通信判別装置。
  4. 前記判別結果評価値は、前記事象的評価値と前記統計的評価値の重み付け線形和により算出されることを特徴とする請求項1記載の異常通信判別装置。
  5. 装置が動作する監視対象システムで検知された異常通信の要因を判別する異常通信判別装置による異常通信判別方法であって、
    前記異常通信判別装置は、異常通信検知事象ごとに、異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかを示す判別事象区分を記憶するレコードを格納する事象的特徴テーブルと、
    異常通信の統計量の成立する条件ごとに、異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかを示す判別事象区分を記憶するレコードを格納する統計的特徴テーブルとを保持し、
    前記異常通信判別装置が、前記監視対象システムにおける異常通信検知情報を受信するステップと、
    前記異常通信判別装置が、受信した異常通信検知情報に基づいて、前記事象的特徴テーブルの異常通信検知情報の該当するレコードの判別事象区分の値が、異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかの各々の数から、事象的評価値を算出するステップと、
    前記異常通信判別装置が、受信した異常通信検知情報から異常通信の統計量を算出するステップと、
    前記異常通信判別装置が、算出した異常通信の統計量に基づいて、前記統計的特徴テーブルの異常通信の統計量の成立する条件があてはまるレコードの異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかの各々の数から、統計的評価値を算出するステップと、
    前記異常通信判別装置が、前記事象的評価値と前記統計的評価値とに基づいて、異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかを示す判別結果評価値を算出し、前記判別結果評価値により異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかの判別を行うステップとを有することを特徴とする異常通信判別方法。
  6. 装置が動作する監視対象システムで検知された異常通信の要因を判別する異常通信対処システムであって、
    前記監視対象システムの異常通信を監視する通信監視装置と、
    前記監視対象システムの装置に対して制御情報を送信する異常通信対処装置と、
    前記監視対象システムのネットワーク情報を表示し、管理者から指令を受け付ける管理者端末と、
    異常通信検知情報を評価し、評価結果に基づき、異常通信がサイバー攻撃によるものか装置の故障によるものかを判別する異常通信判別装置とを備え、
    前記通信監視装置は、異常通信検知情報を前記異常通信判別装置に送信し、
    前記異常通信判別装置は、
    異常通信検知事象ごとに、異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかを示す判別事象区分を記憶するレコードを格納する事象的特徴テーブルと、異常通信の統計量の成立する条件ごとに、異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかを示す判別事象区分を記憶するレコードを格納する統計的特徴テーブルとを保持し、
    前記異常通信判別装置は、受信した異常通信検知情報に基づいて、前記事象的特徴テーブルの異常通信検知情報の該当するレコードの判別事象区分の値が、異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかの各々の数から、事象的評価値を算出し、
    前記異常通信判別装置は、受信した異常通信検知情報から異常通信の統計量を算出し、
    前記異常通信判別装置は、算出した異常通信の統計量に基づいて、前記統計的特徴テーブルの異常通信の統計量の成立する条件があてはまるレコードの異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかの各々の数から、統計的評価値を算出し、
    前記異常通信判別装置は、前記事象的評価値と前記統計的評価値とに基づいて、異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかを示す判別結果評価値を算出し、前記判別結果評価値により異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかを評価するテキストの判別結果評価を生成し、
    前記異常通信判別装置は、異常通信検知情報と前記判別結果評価とを含む判別結果情報を前記管理者端末に送信し、
    前記管理者端末は、前記異常通信検知情報と、異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかのごとに、異常通信の対策案を記憶するレコードを格納する異常通信対処情報テーブルを保持し
    前記管理者端末は、受信した判別結果情報に基づいて、異常通信検知情報と前記判別結果評価と、異常通信の対策案を表示する異常通信対処画面を表示し、
    前記管理者端末は、管理者からの異常通信の対策案を選択を受付け、対策案の選択に基づいて、異常通信対処情報を生成して、その異常通信対処情報を前記異常通信対処装置に送信し、
    異常通信対処装置は、受信した異常通信対処情報に基づいて、前記監視対象システムの装置に対して制御情報を送信することを特徴とする異常通信対処システム。
JP2022205896A 2022-12-22 2022-12-22 異常通信判別装置、異常通信判別方法および異常通信対処システム Active JP7756066B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2022205896A JP7756066B2 (ja) 2022-12-22 2022-12-22 異常通信判別装置、異常通信判別方法および異常通信対処システム
US18/523,207 US12452266B2 (en) 2022-12-22 2023-11-29 Abnormal communication discrimination apparatus, abnormal communication discrimination method, and abnormal communication response system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2022205896A JP7756066B2 (ja) 2022-12-22 2022-12-22 異常通信判別装置、異常通信判別方法および異常通信対処システム

Publications (3)

Publication Number Publication Date
JP2024090178A JP2024090178A (ja) 2024-07-04
JP2024090178A5 JP2024090178A5 (ja) 2025-03-11
JP7756066B2 true JP7756066B2 (ja) 2025-10-17

Family

ID=91583060

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022205896A Active JP7756066B2 (ja) 2022-12-22 2022-12-22 異常通信判別装置、異常通信判別方法および異常通信対処システム

Country Status (2)

Country Link
US (1) US12452266B2 (ja)
JP (1) JP7756066B2 (ja)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014119669A1 (ja) 2013-01-30 2014-08-07 日本電信電話株式会社 ログ分析装置、情報処理方法及びプログラム
JP2018137500A (ja) 2017-02-20 2018-08-30 日本電信電話株式会社 セキュリティ対処案設計装置、セキュリティ対処案評価装置、セキュリティ対処案設計方法及びセキュリティ対処案評価方法
WO2020137743A1 (ja) 2018-12-28 2020-07-02 パナソニックIpマネジメント株式会社 電子制御装置、電子制御システムおよびプログラム
JP2021027505A (ja) 2019-08-07 2021-02-22 株式会社日立ソリューションズ 監視装置、監視方法、および監視プログラム

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10516683B2 (en) * 2017-02-15 2019-12-24 Ford Global Technologies, Llc Systems and methods for security breach detection in vehicle communication systems
JP7071876B2 (ja) 2018-05-25 2022-05-19 株式会社東芝 制御システム、および異常要因判定方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014119669A1 (ja) 2013-01-30 2014-08-07 日本電信電話株式会社 ログ分析装置、情報処理方法及びプログラム
JP2018137500A (ja) 2017-02-20 2018-08-30 日本電信電話株式会社 セキュリティ対処案設計装置、セキュリティ対処案評価装置、セキュリティ対処案設計方法及びセキュリティ対処案評価方法
WO2020137743A1 (ja) 2018-12-28 2020-07-02 パナソニックIpマネジメント株式会社 電子制御装置、電子制御システムおよびプログラム
JP2021027505A (ja) 2019-08-07 2021-02-22 株式会社日立ソリューションズ 監視装置、監視方法、および監視プログラム

Also Published As

Publication number Publication date
US20240214400A1 (en) 2024-06-27
JP2024090178A (ja) 2024-07-04
US12452266B2 (en) 2025-10-21

Similar Documents

Publication Publication Date Title
EP3180891B1 (en) Analyzing cyber-security risks in an industrial control environment
US9360855B2 (en) Anomaly detection system for detecting anomaly in multiple control systems
JP6656211B2 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
US20180013783A1 (en) Method of protecting a communication network
US20150373038A1 (en) Cyber security monitoring system and method for data center components
EP4152192A1 (en) On-chassis backplane intrusion detection system and continuous threat detection enablement platform
JP2012226680A (ja) 産業制御システムを管理する管理システム、管理方法および管理プログラム
US20150172302A1 (en) Interface for analysis of malicious activity on a network
CN107431713B (zh) 用于将系统相关特性和事件转换成网络安全风险评估值的规则引擎
JP7180500B2 (ja) 制御システム、および設定方法
CN103975331A (zh) 并入了被管理基础设施设备的安全的数据中心基础设施管理系统
JP7756066B2 (ja) 異常通信判別装置、異常通信判別方法および異常通信対処システム
US20210382988A1 (en) Robust monitoring of computer systems and/or control systems
JP2018169643A (ja) セキュリティ運用システム、セキュリティ運用管理装置およびセキュリティ運用方法
US10623428B2 (en) Method and system for detecting suspicious administrative activity
CN116541191A (zh) 技术装置操作过程中的操作事件的分析方法
JP2024090178A5 (ja)
JP6041727B2 (ja) 管理装置、管理方法及び管理プログラム
JP7791776B2 (ja) 対処支援装置および対処支援方法
WO2021117665A1 (ja) 電子機器および電子機器の攻撃検知方法
JP2005107726A (ja) セキュリティ管理装置、セキュリティ管理方法、およびセキュリティ管理プログラム
US20240223610A1 (en) Systems and methods for policy undo in operational technology devices
JP6819610B2 (ja) 診断装置、診断方法、及び、診断プログラム
JP7462550B2 (ja) 通信監視対処装置、通信監視対処方法、及び通信監視対処システム
JP2020135100A (ja) 制御システム

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20250227

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20250227

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20250925

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20250930

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20251006

R150 Certificate of patent or registration of utility model

Ref document number: 7756066

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150