状态检测部(105)检测通信系统(600)中包含的多个控制器(300、400)的状态。攻击判定部(103)从分别与状态的组合对应的多个白名单(110)中选择与由状态检测部(105)检测到的多个控制器(300、400)的状态的组合对应的白名单(110)。并且,攻击判定部(103)利用选择出的白名单(110)检测对通信系统(600)的攻击。
【技术实现步骤摘要】
【国外来华专利技术】入侵检测装置、入侵检测方法以及入侵检测程序
本专利技术涉及入侵检测装置、入侵检测方法以及入侵检测程序。
技术介绍
近年来,与网络连接的产业控制系统成为网络攻击目标的事例逐渐增加。在产业控制系统中,为了检测对产业控制系统的网络攻击而利用入侵检测系统。以往的入侵检测系统利用产业控制系统的网络通信是固定的情况,利用白名单来检测网络攻击。在白名单中,通过发送目的地地址与发送方地址的对、通信协议等来定义许可的通信。以往的入侵检测系统将通信数据的发送目的地地址与发送方地址的对、通信协议等与白名单中定义的发送目的地地址与发送方地址的对、通信协议等进行比较。并且,以往的入侵检测系统在发送目的地地址与发送方地址的对、通信协议等在通信数据与白名单之间不一致的情况下,拦截该通信数据(非专利文献1)。在非专利文献2中,公开有根据监视对象设备的状态来切换白名单的入侵检测装置(主机型入侵检测装置)。根据非专利文献2的入侵检测装置,能够实现与设备的状态相应的高精度检测。现有技术文献非专利文献非专利文献1:DongHoKang,ByoungKooKim,JungChanNa,KyoungSonJhang,“WhitelistsBasedMultipleFilteringTechniquesinSCADASensorNetworks”,JournalofAppliedMathematicsVolume2014非专利文献2:山口晃由、清水孝一、小林信博、“产业控制系统中的入侵检测手法的调查和研究”,2015年代码和信息安全研讨会(山口晃由、清水孝一、小林信博、“産業制御システムにおける入侵検知手法の調査と検討”、2015年暗号と情報セキュリティシンポジウム)
技术实现思路
专利技术要解决的课题非专利文献2的白名单以设备为单位定义正常的通信。并且,非专利文献2的入侵检测装置根据各个设备的状态来选择白名单,利用选择出的白名单对通信进行监视。因此,在非专利文献2中,具有无法通过组合在以设备为单位的白名单中判定为正常的通信而检测引起异常动作的攻击这样的课题。本专利技术的主要目的在于解决这样的课题。即,本专利技术的主要目的在于,能够通过组合在以设备为单位的白名单中判定为正常的通信而检测引起异常动作的攻击。用于解决课题的手段本专利技术的入侵检测装置具有:状态检测部,其检测通信系统中包含的多个设备的状态;选择部,其从分别与状态的组合对应的多个白名单中选择与由所述状态检测部检测到的所述多个设备的状态的组合对应的白名单;以及攻击检测部,其利用由所述选择部选择出的白名单检测对所述通信系统的攻击。专利技术效果在本专利技术中,从与状态的组合对应地准备的多个白名单中选择与通信系统中包含的多个设备的状态的组合对应的白名单。因此,根据本专利技术,能够通过组合在以设备为单位的白名单中判定为正常的通信而检测引起异常动作的攻击。附图说明图1是示出实施方式1的入侵检测装置和通信系统的结构例的图。图2是示出实施方式1的入侵检测装置的硬件结构例的图。图3是示出实施方式1的入侵检测装置的动作例的流程图。图4是示出实施方式1的入侵检测装置的另一结构例的图。图5是示出实施方式1的入侵检测装置的动作例的图。图6是示出实施方式1的状态转变规则的例子的图。图7是示出实施方式1的白名单的例子的图。图8是示出实施方式1的白名单生成过程的流程图。图9是示出实施方式1的白名单生成过程的流程图。具体实施方式实施方式1***结构的说明***图1示出本实施方式的入侵检测装置100和通信系统600。通信系统600由服务器装置200、控制器300以及控制器400构成。服务器装置200、控制器300以及控制器400与网络500连接。通信系统600例如为产业控制系统。入侵检测装置100与网络500连接,接收从控制器300和控制器400发送的状态信息502,检测控制器300和控制器400的状态。入侵检测装置100能够根据状态信息502确定控制器300或控制器400当前的控制状态(下面,简称作状态)。状态信息502既可以是用于通知控制状态的专用信号,也可以是能够判别控制状态的传感器值等的信号。并且,入侵检测装置100收集在服务器装置200与控制器300或控制器400之间进行通信的通信数据501。并且,入侵检测装置100将收集到的通信数据109与白名单进行核对,检测对通信系统600的攻击。将由通信接口部101接收后的通信数据501记作通信数据109。如图1所示,入侵检测装置100具备通信接口部101、警报部102、攻击判定部103、白名单存储部104、状态分类部105、状态转变信息存储部106以及白名单生成部115。另外,这些构成要素的具体情况容后再述。在入侵检测装置100中进行的动作为入侵检测方法的例子。控制器300和控制器400是入侵检测装置100的监视对象设备。控制器300和控制器400分别在与服务器装置200之间发送接收通信数据501。并且,控制器300和控制器400分别将状态信息502发送到入侵检测装置100。另外,在无需区别控制器300和控制器400的情况下,简记作控制器。服务器装置200对控制器300和控制器400进行管理。图2示出入侵检测装置100的硬件结构例。本实施方式的入侵检测装置100为计算机。入侵检测装置100作为硬件具有处理器701、辅助存储装置702、存储器703以及通信装置704。辅助存储装置702中存储有实现图1所示的警报部102、攻击判定部103、状态分类部105以及白名单生成部115的功能的程序。即,图1所示的警报部102、攻击判定部103、状态分类部105以及白名单生成部115通过程序来实现。另外,实现攻击判定部103和状态分类部105的功能的程序相当于入侵检测程序。实现警报部102、攻击判定部103、状态分类部105以及白名单生成部115的功能的程序被加载到存储器703,由处理器701来执行。图2示意性地表示处理器701正在执行实现警报部102、攻击判定部103、状态分类部105以及白名单生成部115的功能的程序的状态。辅助存储装置702及/或存储器703作为图1所示的白名单存储部104和状态转变信息存储部106发挥功能。通信装置704经由网络500而与服务器装置200、控制器300以及控制器400进行通信。通信装置704作为图1所示的通信接口部101发挥功能。接下来,对图1所示的通信接口部101、警报部102、攻击判定部103、白名单存储部104、状态分类部105、状态转变信息存储部106以及白名单生成部115的具体情况进行说明。通信接口部101接收经由网络500而由服务器装置200、控制器300以及控制器400发送接收的通信数据501。并且,通信接口部101将接收到的通信数据501输出到攻击判定部103。并且,通信接口部101从控制器300和控制器400接收状态信息502。并且,通信接口部101将接收到的状态信息502输出到状态分类部105。将由通信接口部101接收后的状态信息502记作状态信息111。通信接口部101接收来自警报部102的警报113,将接收到的警报113作为警报503发送到服务器装置200。这样,通信接口部101在入侵检测装置100的内部要素与网络500之间进行数据的发送接收。本文档来自技高网...
【技术保护点】
1.一种入侵检测装置,其中,该入侵检测装置具有:状态检测部,其检测通信系统中包含的多个设备的状态;选择部,其从分别与状态的组合对应的多个白名单中选择与由所述状态检测部检测到的所述多个设备的状态的组合对应的白名单;以及攻击检测部,其利用由所述选择部选择出的白名单检测对所述通信系统的攻击。
【技术特征摘要】
【国外来华专利技术】1.一种入侵检测装置,其中,该入侵检测装置具有:状态检测部,其检测通信系统中包含的多个设备的状态;选择部,其从分别与状态的组合对应的多个白名单中选择与由所述状态检测部检测到的所述多个设备的状态的组合对应的白名单;以及攻击检测部,其利用由所述选择部选择出的白名单检测对所述通信系统的攻击。2.根据权利要求1所述的入侵检测装置,其中,所述状态检测部判定检测到的所述多个设备的状态的组合是否相当于预先定义的组合,在由所述状态检测部判定为所述多个设备的状态的组合相当于所述预先定义的组合的情况下,所述选择部选择与所述多个设备的状态的组合对应的白名单。3.根据权利要求2所述的入侵检测装置,其中,所述状态检测部判定检测到的各个设备的状态是否适合预先定义的状态转变规则,在判定为各个设备的状态适合所述状态转变规则的情况下,所述状态检测部判定所述多个设备的状态的组合是否相当于所述预先定义的组合。4.根据权利要求1所述的入侵检测装置,其中,所述入侵检测装置还具有故障安全执行部,在由所述攻击检测部检测到对所述...
【专利技术属性】
技术研发人员:中井纲人,山口晃由,清水孝一,小林信博,
申请(专利权)人:三菱电机株式会社,
类型:发明
国别省市:日本,JP
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。