JP7756066B2 - 異常通信判別装置、異常通信判別方法および異常通信対処システム - Google Patents
異常通信判別装置、異常通信判別方法および異常通信対処システムInfo
- Publication number
- JP7756066B2 JP7756066B2 JP2022205896A JP2022205896A JP7756066B2 JP 7756066 B2 JP7756066 B2 JP 7756066B2 JP 2022205896 A JP2022205896 A JP 2022205896A JP 2022205896 A JP2022205896 A JP 2022205896A JP 7756066 B2 JP7756066 B2 JP 7756066B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- anomalous
- abnormal
- information
- event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/22—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Human Computer Interaction (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
先ず、図1ないし図6Dを用いて一実施形態に係る異常通信対処システムの構成について説明する。
EventEval=ec×EC+ef×EF …(式1)
ここで、ECは、取得したレコードの判別事象区分111dの値が「サイバー攻撃」であるものの数、EFは、取得したレコードの判別事象区分111dの値が「故障」であるものの数、ec、efは、評価のための最適化係数である。
StatEval=sc×SC+sf×SF …(式2)
ここで、SCは、取得したレコードの判別事象区分112eの値が「サイバー攻撃」であるものの数、SFは、取得したレコードの判別事象区分112eの値が「故障」であるものの数、sc、sfは、評価のための最適化係数である。
Eval=kE×EventEval+kS×StatEval …(式3)
ここで、kE、kSは、それぞれ事象的評価と統計的評価との評価付けに対する重み係数である。
Eval≧Th1のとき、Result=”サイバー攻撃”
Th2≧Eval>Th1のとき、Result=”サイバー攻撃の可能性あり”
Th3≧Eval>Th2のとき、Result=”サイバー攻撃/故障”
Th4≧Eval>Th3のとき、Result=”故障の可能性あり”
Eval>Th4のとき、Result=”故障”
…(式4)
図18は、管理者端末が表示する異常通信対処画面の一例を示す図である。
220…システム情報テーブル類、221…装置情報テーブル、222…ホワイト通信テーブル、223…業務情報テーブル、224…制御情報テーブル、80… …制御コマンド、111…事象的特徴情報テーブル、112…統計的特徴情報テーブル、500…判別結果情報データ、400…異常通信対処情報テーブル
Claims (6)
- 装置が動作する監視対象システムで検知された異常通信の要因を判別する異常通信判別装置であって、
異常通信検知事象ごとに、異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかを示す判別事象区分を記憶するレコードを格納する事象的特徴テーブルと、
異常通信の統計量の成立する条件ごとに、異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかを示す判別事象区分を記憶するレコードを格納する統計的特徴テーブルとを保持し、
前記監視対象システムにおける異常通信検知情報を受信し、
受信した異常通信検知情報に基づいて、前記事象的特徴テーブルの異常通信検知情報の該当するレコードの判別事象区分の値が、異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかの各々の数から、事象的評価値を算出し、
受信した異常通信検知情報から異常通信の統計量を算出し、
算出した異常通信の統計量に基づいて、前記統計的特徴テーブルの異常通信の統計量の成立する条件があてはまるレコードの異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかの各々の数から、統計的評価値を算出し、
前記事象的評価値と前記統計的評価値とに基づいて、異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかを示す判別結果評価値を算出し、前記判別結果評価値により異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかの判別を行うことを特徴とする異常通信判別装置。 - 前記事象的評価値は、異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかの各々のレコードの数の重み付け線形和により算出されることを特徴とする請求項1記載の異常通信判別装置。
- 前記統計的評価値は、異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかの各々のレコードの数の重み付け線形和により算出されることを特徴とする請求項1記載の異常通信判別装置。
- 前記判別結果評価値は、前記事象的評価値と前記統計的評価値の重み付け線形和により算出されることを特徴とする請求項1記載の異常通信判別装置。
- 装置が動作する監視対象システムで検知された異常通信の要因を判別する異常通信判別装置による異常通信判別方法であって、
前記異常通信判別装置は、異常通信検知事象ごとに、異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかを示す判別事象区分を記憶するレコードを格納する事象的特徴テーブルと、
異常通信の統計量の成立する条件ごとに、異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかを示す判別事象区分を記憶するレコードを格納する統計的特徴テーブルとを保持し、
前記異常通信判別装置が、前記監視対象システムにおける異常通信検知情報を受信するステップと、
前記異常通信判別装置が、受信した異常通信検知情報に基づいて、前記事象的特徴テーブルの異常通信検知情報の該当するレコードの判別事象区分の値が、異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかの各々の数から、事象的評価値を算出するステップと、
前記異常通信判別装置が、受信した異常通信検知情報から異常通信の統計量を算出するステップと、
前記異常通信判別装置が、算出した異常通信の統計量に基づいて、前記統計的特徴テーブルの異常通信の統計量の成立する条件があてはまるレコードの異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかの各々の数から、統計的評価値を算出するステップと、
前記異常通信判別装置が、前記事象的評価値と前記統計的評価値とに基づいて、異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかを示す判別結果評価値を算出し、前記判別結果評価値により異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかの判別を行うステップとを有することを特徴とする異常通信判別方法。 - 装置が動作する監視対象システムで検知された異常通信の要因を判別する異常通信対処システムであって、
前記監視対象システムの異常通信を監視する通信監視装置と、
前記監視対象システムの装置に対して制御情報を送信する異常通信対処装置と、
前記監視対象システムのネットワーク情報を表示し、管理者から指令を受け付ける管理者端末と、
異常通信検知情報を評価し、評価結果に基づき、異常通信がサイバー攻撃によるものか装置の故障によるものかを判別する異常通信判別装置とを備え、
前記通信監視装置は、異常通信検知情報を前記異常通信判別装置に送信し、
前記異常通信判別装置は、
異常通信検知事象ごとに、異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかを示す判別事象区分を記憶するレコードを格納する事象的特徴テーブルと、異常通信の統計量の成立する条件ごとに、異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかを示す判別事象区分を記憶するレコードを格納する統計的特徴テーブルとを保持し、
前記異常通信判別装置は、受信した異常通信検知情報に基づいて、前記事象的特徴テーブルの異常通信検知情報の該当するレコードの判別事象区分の値が、異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかの各々の数から、事象的評価値を算出し、
前記異常通信判別装置は、受信した異常通信検知情報から異常通信の統計量を算出し、
前記異常通信判別装置は、算出した異常通信の統計量に基づいて、前記統計的特徴テーブルの異常通信の統計量の成立する条件があてはまるレコードの異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかの各々の数から、統計的評価値を算出し、
前記異常通信判別装置は、前記事象的評価値と前記統計的評価値とに基づいて、異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかを示す判別結果評価値を算出し、前記判別結果評価値により異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかを評価するテキストの判別結果評価を生成し、
前記異常通信判別装置は、異常通信検知情報と前記判別結果評価とを含む判別結果情報を前記管理者端末に送信し、
前記管理者端末は、前記異常通信検知情報と、異常通信がサイバー攻撃によるものか、監視対象システムの装置の故障によるものかのごとに、異常通信の対策案を記憶するレコードを格納する異常通信対処情報テーブルを保持し
前記管理者端末は、受信した判別結果情報に基づいて、異常通信検知情報と前記判別結果評価と、異常通信の対策案を表示する異常通信対処画面を表示し、
前記管理者端末は、管理者からの異常通信の対策案を選択を受付け、対策案の選択に基づいて、異常通信対処情報を生成して、その異常通信対処情報を前記異常通信対処装置に送信し、
異常通信対処装置は、受信した異常通信対処情報に基づいて、前記監視対象システムの装置に対して制御情報を送信することを特徴とする異常通信対処システム。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2022205896A JP7756066B2 (ja) | 2022-12-22 | 2022-12-22 | 異常通信判別装置、異常通信判別方法および異常通信対処システム |
| US18/523,207 US12452266B2 (en) | 2022-12-22 | 2023-11-29 | Abnormal communication discrimination apparatus, abnormal communication discrimination method, and abnormal communication response system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2022205896A JP7756066B2 (ja) | 2022-12-22 | 2022-12-22 | 異常通信判別装置、異常通信判別方法および異常通信対処システム |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2024090178A JP2024090178A (ja) | 2024-07-04 |
| JP2024090178A5 JP2024090178A5 (ja) | 2025-03-11 |
| JP7756066B2 true JP7756066B2 (ja) | 2025-10-17 |
Family
ID=91583060
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2022205896A Active JP7756066B2 (ja) | 2022-12-22 | 2022-12-22 | 異常通信判別装置、異常通信判別方法および異常通信対処システム |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US12452266B2 (ja) |
| JP (1) | JP7756066B2 (ja) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014119669A1 (ja) | 2013-01-30 | 2014-08-07 | 日本電信電話株式会社 | ログ分析装置、情報処理方法及びプログラム |
| JP2018137500A (ja) | 2017-02-20 | 2018-08-30 | 日本電信電話株式会社 | セキュリティ対処案設計装置、セキュリティ対処案評価装置、セキュリティ対処案設計方法及びセキュリティ対処案評価方法 |
| WO2020137743A1 (ja) | 2018-12-28 | 2020-07-02 | パナソニックIpマネジメント株式会社 | 電子制御装置、電子制御システムおよびプログラム |
| JP2021027505A (ja) | 2019-08-07 | 2021-02-22 | 株式会社日立ソリューションズ | 監視装置、監視方法、および監視プログラム |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10516683B2 (en) * | 2017-02-15 | 2019-12-24 | Ford Global Technologies, Llc | Systems and methods for security breach detection in vehicle communication systems |
| JP7071876B2 (ja) | 2018-05-25 | 2022-05-19 | 株式会社東芝 | 制御システム、および異常要因判定方法 |
-
2022
- 2022-12-22 JP JP2022205896A patent/JP7756066B2/ja active Active
-
2023
- 2023-11-29 US US18/523,207 patent/US12452266B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014119669A1 (ja) | 2013-01-30 | 2014-08-07 | 日本電信電話株式会社 | ログ分析装置、情報処理方法及びプログラム |
| JP2018137500A (ja) | 2017-02-20 | 2018-08-30 | 日本電信電話株式会社 | セキュリティ対処案設計装置、セキュリティ対処案評価装置、セキュリティ対処案設計方法及びセキュリティ対処案評価方法 |
| WO2020137743A1 (ja) | 2018-12-28 | 2020-07-02 | パナソニックIpマネジメント株式会社 | 電子制御装置、電子制御システムおよびプログラム |
| JP2021027505A (ja) | 2019-08-07 | 2021-02-22 | 株式会社日立ソリューションズ | 監視装置、監視方法、および監視プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| US20240214400A1 (en) | 2024-06-27 |
| JP2024090178A (ja) | 2024-07-04 |
| US12452266B2 (en) | 2025-10-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3180891B1 (en) | Analyzing cyber-security risks in an industrial control environment | |
| US9360855B2 (en) | Anomaly detection system for detecting anomaly in multiple control systems | |
| JP6656211B2 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
| US20180013783A1 (en) | Method of protecting a communication network | |
| US20150373038A1 (en) | Cyber security monitoring system and method for data center components | |
| EP4152192A1 (en) | On-chassis backplane intrusion detection system and continuous threat detection enablement platform | |
| JP2012226680A (ja) | 産業制御システムを管理する管理システム、管理方法および管理プログラム | |
| US20150172302A1 (en) | Interface for analysis of malicious activity on a network | |
| CN107431713B (zh) | 用于将系统相关特性和事件转换成网络安全风险评估值的规则引擎 | |
| JP7180500B2 (ja) | 制御システム、および設定方法 | |
| CN103975331A (zh) | 并入了被管理基础设施设备的安全的数据中心基础设施管理系统 | |
| JP7756066B2 (ja) | 異常通信判別装置、異常通信判別方法および異常通信対処システム | |
| US20210382988A1 (en) | Robust monitoring of computer systems and/or control systems | |
| JP2018169643A (ja) | セキュリティ運用システム、セキュリティ運用管理装置およびセキュリティ運用方法 | |
| US10623428B2 (en) | Method and system for detecting suspicious administrative activity | |
| CN116541191A (zh) | 技术装置操作过程中的操作事件的分析方法 | |
| JP2024090178A5 (ja) | ||
| JP6041727B2 (ja) | 管理装置、管理方法及び管理プログラム | |
| JP7791776B2 (ja) | 対処支援装置および対処支援方法 | |
| WO2021117665A1 (ja) | 電子機器および電子機器の攻撃検知方法 | |
| JP2005107726A (ja) | セキュリティ管理装置、セキュリティ管理方法、およびセキュリティ管理プログラム | |
| US20240223610A1 (en) | Systems and methods for policy undo in operational technology devices | |
| JP6819610B2 (ja) | 診断装置、診断方法、及び、診断プログラム | |
| JP7462550B2 (ja) | 通信監視対処装置、通信監視対処方法、及び通信監視対処システム | |
| JP2020135100A (ja) | 制御システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20250227 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20250227 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20250925 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20250930 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20251006 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7756066 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |