CN112997177A - 攻击探测装置、攻击探测方法以及攻击探测程序 - Google Patents
攻击探测装置、攻击探测方法以及攻击探测程序 Download PDFInfo
- Publication number
- CN112997177A CN112997177A CN201880099402.8A CN201880099402A CN112997177A CN 112997177 A CN112997177 A CN 112997177A CN 201880099402 A CN201880099402 A CN 201880099402A CN 112997177 A CN112997177 A CN 112997177A
- Authority
- CN
- China
- Prior art keywords
- adjustment
- abnormality
- attack
- abnormality detection
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 110
- 230000005856 abnormality Effects 0.000 claims abstract description 116
- 230000004044 response Effects 0.000 claims description 2
- 239000000523 sample Substances 0.000 description 52
- 238000000034 method Methods 0.000 description 39
- 238000010586 diagram Methods 0.000 description 15
- 230000006870 function Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 238000011835 investigation Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000011867 re-evaluation Methods 0.000 description 3
- 238000007796 conventional method Methods 0.000 description 2
- 230000006866 deterioration Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 238000006731 degradation reaction Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/41815—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the cooperation between machine tools, manipulators and conveyor or other workpiece supply system, workcell
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q9/00—Arrangements in telecontrol or telemetry systems for selectively calling a substation from a main station, in which substation desired apparatus is selected for applying a control signal thereto or for obtaining measured values therefrom
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Quality & Reliability (AREA)
- Automation & Control Theory (AREA)
- Manufacturing & Machinery (AREA)
- Signal Processing (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Data Mining & Analysis (AREA)
- Medical Informatics (AREA)
- Mathematical Physics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Selective Calling Equipment (AREA)
Abstract
攻击探测装置具备:异常探测部,通过取得包括设备ID的异常探测结果,探测在与设备ID对应的设备中发生异常;存储部,将把设备ID和调整时刻关联起来的数据存储为调整历史数据;以及攻击判定部,根据由异常探测部探测的探测结果,从存储于存储部的调整历史数据,求出与设备ID对应的设备的调整频度,在调整频度超过针对该设备设定的容许次数的情况下,判定为该设备受到攻击。
Description
技术领域
本发明例如涉及探测工厂、车间等的设备受到网络攻击的攻击探测装置、攻击探测方法以及攻击探测程序。
背景技术
有在工厂、车间等的设备的正常状态或者故障状态已知的情况下,比较过去的日志和当前的举动,使用基于比较结果的偏离程度,探测设备的异常的方法(参照例如专利文献1、2)。
进而,有在无法事先定义设备的正常状态的情况下,根据过去的日志适应地推测设备的正常状态的方法(参照例如专利文献3)。
这些以往的方法在探测工厂、车间等的设备的异常的情况下有效。
现有技术文献
专利文献
专利文献1:日本专利第6148316号公报
专利文献2:日本特开2018-073258号公报
专利文献3:日本特开平08-014955号公报
发明内容
然而,不论是上述以往的方法的哪一个,都难以判定探测的异常起因于设备自身的故障或者劣化还是起因于来自外部的网络攻击。
本发明是为了解决上述课题而完成的,其目的在于得到能够判定探测的设备异常是否起因于网络攻击的攻击探测装置、攻击探测方法以及攻击探测程序。
本发明所涉及的攻击探测装置,具备:异常探测部,通过取得包括用于识别设备的设备ID的异常探测结果,探测在与所述设备ID对应的设备中发生异常;以及攻击判定部,根据包含于从所述异常探测部发送的所述异常探测结果的所述设备ID,从将所述设备ID和表示针对在所述设备中发生的异常进行调整的时刻的调整时刻关联起来的调整历史数据,求出与所述设备ID对应的所述设备的调整频度,在所述调整频度超过针对所述设备预先设定的容许次数的情况下,判定为所述设备受到攻击。
另外,本发明所涉及的攻击探测方法,具备:异常探测步骤,通过取得包括用于识别设备的设备ID的异常探测结果,探测在与所述设备ID对应的设备中发生异常,发送所述异常探测结果;以及攻击判定步骤,根据包含于在所述异常探测步骤中发送的所述异常探测结果的所述设备ID,从将所述设备ID和表示针对在所述设备中发生的异常进行调整的时刻的调整时刻关联起来的调整历史数据,求出与所述设备ID对应的所述设备的调整频度,在所述调整频度超过针对所述设备预先设定的容许次数的情况下,判定为所述设备受到攻击。
另外,本发明所涉及的攻击探测程序,用于使计算机执行:异常探测步骤,通过取得包括用于识别设备的设备ID的异常探测结果,探测在与所述设备ID对应的设备中发生异常,发送所述异常探测结果;以及攻击判定步骤,根据包含于在所述异常探测步骤中发送的所述异常探测结果的所述设备ID,从将所述设备ID和表示针对在所述设备中发生的异常进行调整的时刻的调整时刻关联起来的调整历史数据,求出与所述设备ID对应的所述设备的调整频度,在所述调整频度超过针对所述设备预先设定的容许次数的情况下,判定为所述设备受到攻击。
根据本发明所涉及的攻击探测装置、攻击探测方法以及攻击探测程序,能够判定探测的设备异常是否起因于网络攻击。
附图说明
图1是本发明的实施方式1所涉及的探测服务器的结构图。
图2是示出本发明的实施方式1中的储存于存储部的调整历史数据的数据结构的图。
图3是示出本发明的实施方式1所涉及的探测服务器和异常探测装置的连接结构的图。
图4是示出本发明的实施方式1所涉及的与探测服务器以及异常探测装置各自对应的硬件结构例的图。
图5是示出本发明的实施方式1所涉及的在攻击探测装置中执行的一连串的攻击探测处理的流程图。
图6是示出本发明的实施方式1中的存储于存储部的信息的一个例子的图。
图7是在本发明的实施方式1中将调整历史数据作为图表示出的图。
图8是本发明的实施方式2所涉及的探测服务器的结构图。
图9是示出本发明的实施方式2中的储存于存储部的调整历史数据以及容许范围数据各自的数据结构的图。
图10是示出本发明的实施方式2所涉及的在攻击探测装置中执行的一连串的攻击探测处理的流程图。
图11是示出本发明的实施方式2所涉及的在攻击探测装置中执行的、与窗口宽度以及容许次数有关的一连串的学习处理的流程图。
(符号说明)
101:探测服务器(攻击探测装置);111:异常探测部;112:攻击判定部;120:存储部;121:调整历史数据;301:异常探测装置;302:异常探测部;401:运算装置;402:外部存储装置;403:主存储装置;404:通信装置;405:总线;801:探测服务器(攻击探测装置);811:异常探测部;812:攻击判定部;813:容许范围学习部(学习部);820:存储部;821:调整历史数据;822:容许范围数据。
具体实施方式
以下,使用附图,说明本发明的攻击探测装置、攻击探测方法以及攻击探测程序的优选的实施方式。此外,在以后的实施方式中,详细说明通过根据在某一定期间内探测的每个设备的异常历史,求出每个设备的调整频度,判定调整频度是否超过容许次数,能够探测网络攻击的技术。此外,在以下的说明中,将网络攻击简称为“攻击”。
实施方式1.
图1是本发明的实施方式1所涉及的探测服务器101的结构图。探测服务器101与攻击探测装置的例子相当。图1所示的探测服务器101构成为具备异常探测部111、攻击判定部112以及存储部120。另外,在存储部120中,储存有调整历史数据121。
图2示出本发明的实施方式1中的储存于存储部120的调整历史数据121的数据结构的一个例子。如图2所示,调整历史数据121是将调整时刻211、设备ID212以及调整内容213的各项目相互关联起来构成的。此外,调整历史数据121不限定于图2的结构,也可以设为仅将调整时刻211和设备ID212这2个项目关联起来的结构。
图3是示出本发明的实施方式1中的探测服务器101和异常探测装置301的连接结构的图。如图3所示,探测服务器101和异常探测装置301被有线连接或者无线连接,进行通信。异常探测装置301例如设置于工厂,具备探测在工厂内的设备中发生的异常的功能。异常探测装置301具备探测设备的异常的异常探测部302。
也可以是针对探测服务器101连接多个异常探测装置301的结构。另外,也可以连接构成为由多个层构成的网络的多个异常探测装置301和探测服务器101。另外,异常探测装置301也可以包含于探测服务器101内部。
探测服务器101以及异常探测装置301由具备CPU(Central Processing Unit,中央处理单元)的计算机构成。作为探测服务器101内的构成要素的异常探测部111以及攻击判定部112的各部的功能通过CPU执行程序而实现。同样地,作为异常探测装置301内的构成要素的异常探测部302的功能也通过CPU执行程序而实现。
另外,用于执行构成要素的处理的程序能够构成为存储到存储介质,CPU从存储介质读取。
图4是示出本发明的实施方式1所涉及的与探测服务器101以及异常探测装置301各自对应的硬件结构例的图。运算装置401、外部存储装置402、主存储装置403以及通信装置404经由总线405相互连接。
运算装置401是执行程序的CPU。外部存储装置402例如是ROM(Read Only Memory,只读存储器)、硬盘等。主存储装置403通常是RAM(Random Access Memory,随机存取存储器)。通信装置404通常是与以太网(注册商标)对应的通信卡。
程序通常存储到外部存储装置402,在载入到主存储装置403的状态下,依次读入到运算装置401,执行处理。程序实现作为图1所示的“异常探测部111”以及“攻击判定部112”的功能。
另外,图1所示的存储部120例如通过外部存储装置402实现。进而,在外部存储装置402中,还存储有操作系统(以下称为OS),OS的至少一部分被载入到主存储装置403。运算装置401一边执行OS,一边执行实现图1所示的“异常探测部111”以及“攻击判定部112”的功能的程序。
另外,在实施方式1的说明中,将表示处理结果的、信息、数据、信号值以及变量值作为文件存储到主存储装置403。
此外,图4的结构仅为探测服务器101以及异常探测装置301的硬件结构的一个例子。因此,探测服务器101以及异常探测装置301的硬件结构不限于图4的记载,也可以是其他结构。例如,也可以是显示显示器等输出装置或者鼠标/键盘等输入装置与总线405连接的结构。
另外,探测服务器101能够通过各实施方式中的流程图所示的过程实现本发明的各实施方式所涉及的信息处理方法。
接下来,根据图1~图3,说明探测服务器101的动作。此外,关于各动作的详细情况,后面使用流程图叙述。
异常探测部111取得从异常探测装置301发送的异常探测结果。关于异常探测结果的取得方法,只要能够取得包括异常探测时刻以及设备ID的内容,则可以是任意的方法。
攻击判定部112使用存储于存储部120的调整历史数据121,求出针对每个设备设定的时间宽度下的调整频度。进而,攻击判定部112通过判别调整频度是否超过针对每个设备设定的容许次数,探测受到攻击。在此,关于容许次数,既可以事先设定阈值,也可以根据过去的调整历史适应地设定。容许次数的决定方法没有限定。
接下来,使用图2,说明在本实施方式1中使用的调整历史数据121的数据构造。图2的调整历史数据121表示储存调整历史的形式的一个例子。
在图2中,调整时刻211是用于关于与设备ID对应的设备,识别进行针对在该设备中发生的异常的调整的时刻的信息。调整时刻211只要能够辩识为日期以及时刻,则可以是任意的形式的数据。
设备ID212是用于识别发生异常而进行调整的设备的唯一的标识符。
调整内容213是表示具体地实施的调整的概要的数据。
图5是示出本发明的实施方式1所涉及的在攻击探测装置中执行的一连串的攻击探测处理的流程图。以下,根据图5所示的流程图,说明由探测服务器101中的异常探测部111以及攻击判定部112实施的攻击探测处理。在此,关于设备的异常,设为事先由异常探测装置301探测。
在步骤S501中,异常探测部111取得由异常探测装置301探测的异常探测结果。
在步骤S502中,攻击判定部112根据在步骤S501中探测到异常的设备的设备ID,参照调整历史数据121,取得设定的时间宽度下的最近的调整频度。
在步骤S503中,攻击判定部112比较在步骤S502中取得的最近的调整频度和调整频度的容许次数。然后,攻击判定部112在步骤S502中取得的最近的调整频度超过容许次数的情况下,进入到步骤S504,在未超过的情况下,进入到步骤S505。
在进入到步骤S504的情况下,攻击判定部112判定为有检测到异常的设备受到攻击的可能性,进行用于委托设备的详细的调查的报告。作为详细的调查的委托方法,只要是通过画面的显示向人通知、自动地发送消息等能够报告使其开始设备的详细调查的方法,则可以是任意的方法。
另一方面,在进入到步骤S505的情况下,攻击判定部112进行用于委托需要处置在步骤S501中探测的设备的异常的调整的报告,将包括调整时刻的调整结果记录为调整历史数据121。作为调整的委托方法,只要是通过画面的显示对人通知委托调整的消息、自动地发送委托调整的消息等能够报告使其开始设备的调整的方法,则可以是任意的方法。
此外,不论在步骤S504以及步骤S505的哪一个的情况下,攻击判定部112在响应于自身进行的上述报告进行针对发生异常的设备的调整的情况下,取得进行该调整的时刻,作为调整时刻。另外,攻击判定部112通过把将取得的调整时刻和设备ID关联起来的新的数据存储到存储部120,更新调整历史数据121。
图6是将本发明的实施方式1中的存储于存储部120的调整历史数据121的一个例子表示为调整历史数据610的图。以下,使用图6,说明攻击探测的具体例。
首先,说明图6所示的调整历史数据610的例子。在图6中,作为调整历史数据610,已经储存有10个调整历史。调整历史数据610的各行的内容由时刻611、设备ID612以及调整内容613构成。
图7是在本发明的实施方式1中,将调整历史数据610表示为图表710的图。使用图表710,说明调整频度。图表710的纵轴711表示制造设备的类别,与设备ID612对应。图表710的横轴712表示时间经过,与时刻611对应。包含于调整历史数据610的各行的时刻611以及设备ID612与图表710所示的点721对应。
攻击判定部112根据图6所示的调整历史数据610,确定在图7所示的图表710中调整频度频繁出现的部位722。在调整频度频繁出现的部位722处的调整频度超过容许次数的情况下,攻击判定部112判定为有受到攻击的可能性。在此,容许次数既可以不依赖于设备ID612而成为共同的值,也可以针对每个设备ID612成为不同的值。
这样,本实施方式1所涉及的攻击探测装置的攻击判定部112将异常探测部111取得的异常探测结果作为起点,开始攻击探测处理。然后,攻击判定部112使用储存于存储部120内的调整历史数据121,在调整频度频繁出现的部位处,求出设定的时间宽度下的调整频度。进而,攻击判定部112通过比较求出的调整频度和容许次数,探测是否有受到攻击的可能性。即,攻击判定部112能够根据探测到设备异常的频度,判定有无网络攻击。
以往,限于与既知的正常状态不同的异常的探测。然而,通过使用本实施方式1所涉及的攻击探测装置执行的攻击探测处理,能够得到能够探测异常探测的原因是否为攻击这样的效果。
实施方式2.
在本实施方式2中,说明攻击探测装置学习窗口宽度以及容许次数,通过使用根据学习结果更新的窗口宽度以及容许次数,实现能够适应地探测攻击的探测服务器的情况。
图8是本发明的实施方式2所涉及的探测服务器801的结构图。探测服务器801与攻击探测装置的例子相当。图8所示的探测服务器801构成为具备异常探测部811、攻击判定部812、作为学习部的容许范围学习部813以及存储部820。图8的探测服务器801成为针对前面的实施方式1中的探测服务器101还追加有容许范围学习部813和存储部820内的容许范围数据822的结构。因此,以下,以新追加的这些结构为中心进行说明。
图9是示出本发明的实施方式2所涉及的储存于存储部820的调整历史数据821以及容许范围数据822各自的数据结构的图。调整历史数据821具有调整时刻921、设备ID912以及调整内容913,结构与前面的实施方式1中的调整历史数据121相同,所以省略说明。如图9所示,容许范围数据822是将设备ID921、窗口宽度922、容许次数923、应用开始时刻924以及应用结束时刻925的各项目相互关联起来构成的。
以下,根据图8,说明由探测服务器801实施的学习功能的动作。此外,关于各动作的详细情况,后面使用流程图叙述。另外,异常探测部811以及攻击判定部812的动作与前面的实施方式1所示的异常探测部111以及攻击判定部112的动作相同,所以省略说明。
容许范围学习部813针对由攻击判定部812判定的攻击判定结果,根据通过人或者机械调查的结果,进行向容许范围数据822的反馈。关于向容许范围数据822的反馈定时,既可以在调查后反映,也可以定期地反映。
接下来,使用图9,说明在本实施方式2中使用的数据构造。图9的调整历史数据821与实施方式1所示的调整历史数据121相同,所以省略说明。
图9的容许范围数据822表示储存容许范围的形式的一个例子。
设备ID921是用于识别进行调整的设备的唯一的标识符。
窗口宽度922是与在进行攻击判定时用于对调整历史的频度进行计数的时间宽度相当的窗口宽度。
容许次数923与窗口宽度922中的调整历史的频度的上限容许值相当。
应用开始时刻924是开始应用针对设备ID921的窗口宽度922以及容许次数923的时刻。应用开始时刻924的储存形式只要是能够辩识为日期时间以及时刻的形式,则可以是任意的形式的数据。
应用结束时刻925是结束应用针对设备ID921的窗口宽度922以及容许次数923的时刻。应用结束时刻925在期限不明确的情况下省略设定,由此应用开始时刻924以后的所有时刻成为用于进行学习的对象。另外,应用结束时刻925的储存形式只要是能够辩识为日期时间以及时刻的形式并且能够判别期限不明确的情况的形式,则可以是任意的形式的数据。
图10是示出本发明的实施方式2所涉及的在攻击探测装置中执行的一连串的攻击探测处理的流程图。以下,根据图10所示的流程图,说明由探测服务器801中的异常探测部811以及攻击判定部812执行的攻击探测处理。在此,关于设备的异常,设为事先由异常探测装置301探测。
图10所示的流程图是针对前面的实施方式1中的图5所示的流程图追加使用学习的容许次数的判定处理的流程图。
在步骤S1001中,异常探测部811取得由异常探测装置301探测的异常探测结果。
在步骤S1002中,攻击判定部812根据在步骤S1001中探测到异常的设备的设备ID,参照容许范围数据822,取得相应于异常探测的时刻为应用开始时刻以后并且应用结束时刻以内或者应用开始时刻以后并且无应用结束时刻的行中的窗口宽度以及容许次数。
在步骤S1003中,攻击判定部812根据在步骤S1001中探测到异常的设备的设备ID,参照调整历史数据821,取得最近的调整频度。在此,攻击判定部812使用在步骤S1002中取得的窗口宽度,对包含于该窗口宽度表示的时间宽度的该设备的最近的调整频度进行计数。具体而言,在窗口宽度是3小时的情况下,攻击判定部812将在最近的3小时以内进行的调整的实施次数计数为调整频度。
在步骤S1004中,攻击判定部812比较在步骤S1002中取得的容许次数和在步骤S1003中取得的最近的调整频度。然后,攻击判定部812在最近的调整频度超过容许次数的情况下,进入到步骤S1005,在未超过的情况下,进入到步骤S1006。
在进入到步骤S1005的情况下,攻击判定部812判定为探测到异常的设备有受到攻击的可能性,进行用于委托设备的详细的调查的报告。作为详细的调查的委托方法,只要是通过画面的显示向人通知、自动地发送消息等能够报告使其开始设备的详细调查的方法,则可以是任意的方法。
另一方面,在进入到步骤S1006的情况下,攻击判定部812进行用于委托需要处置在步骤S1001中探测的设备的异常的调整的报告,将调整结果记录为调整历史数据821。作为调整的委托方法,只要是通过画面的显示对人通知委托调整的消息、自动地发送委托调整的消息等能够报告使其开始设备的调整的方法,则可以是任意的方法。
图11是示出本发明的实施方式2中的在攻击探测装置中执行的、与窗口宽度以及容许次数有关的一连串的学习处理的流程图。
在步骤S1101中,容许范围学习部813取得作为学习对象的制造设备的设备ID。容许范围学习部813取得设备ID的方法既可以是手动输入的情况,也可以是反映机械性的调查的结果的情况,只要是能够辨识设备ID的方法,则可以是任意的方法。
在步骤S1102中,容许范围学习部813根据在步骤S1101中取得的设备ID,参照容许范围数据822,取得在与最新的应用开始时刻对应的行中设定的窗口宽度以及容许次数。
在步骤S1103中,容许范围学习部813根据由攻击判定部812判定的判定结果,学习在步骤S1102中取得的窗口宽度以及容许次数,重新评估该窗口宽度以及容许次数。关于具体的重新评估方法,例如,考虑在导入新的设备的情况下最初减小窗口宽度以及容许数且根据实际的调整频度变更窗口宽度以及容许数、在制造的产品的种类大幅变化的情况下根据实际的调整频度变更窗口宽度以及容许数、根据设备的劣化倾向使容许数增加这样的重新评估方法。关于由容许范围学习部813实施的重新评估的方法,只要是基于过去的历史的统计性的方法、利用机械学习的方法等能够对窗口宽度以及容许次数进行定量化的方法,则可以是任意的方法。
在步骤S1104中,容许范围学习部813将在步骤S1102中参照的行的应用结束时刻更新为开始在步骤S1103中重新评估的窗口宽度以及容许次数的应用的时刻。进而,容许范围学习部813将该时刻作为应用开始时刻,使用在S1103中重新评估的窗口宽度以及容许次数,对容许范围数据822追加新的行。
在此,新追加的行中的应用结束时刻设为“无”,设备ID设为在步骤S1101中取得的设备ID。通过进行这样的一连串处理,能够关于学习对象的设备,追加执行了窗口宽度以及容许次数的重新评估的新的行。
这样,在本实施方式2中,探测服务器801通过使容许范围学习部813根据设备的实际的动作情况,学习存储部120内的容许范围数据822,能够针对各个设备的每一个,逐次更新为适当的窗口宽度以及容许次数。其结果,能够进一步提高攻击判定的精度。
由此,除了在实施方式1中得到的效果,还能够得到即使在制造的产品大幅变化的情况、由于劣化而调整频度逐渐变化的情况等下也能够高精度地进行攻击探测这样的效果。
此外,在上述实施方式1中,说明为探测服务器101具备存储部120。然而,不限于此,存储部120也可以并非探测服务器101的构成要素,而作为外部装置的构成要素,设置于探测服务器101的外部。作为该情况的结构例,例如,在设置于探测服务器101的外部的服务器等外部装置设置存储部120。而且,也可以探测服务器101从该外部装置取得积蓄于该外部装置的存储部120的调整历史数据121,判定设备有无攻击。另外,实施方式2的探测服务器801的存储部820也是同样的。即,存储部820也可以并非探测服务器801的构成要素,而作为外部装置的构成要素,设置于探测服务器801的外部。作为该情况下的探测服务器801以及存储部820的结构例,与探测服务器101以及存储部120相同即可,所以在此省略其说明。
Claims (7)
1.一种攻击探测装置,具备:
异常探测部,通过取得包括用于识别设备的设备ID的异常探测结果,探测在与所述设备ID对应的设备中发生异常;以及
攻击判定部,根据包含于从所述异常探测部发送的所述异常探测结果的所述设备ID,从将所述设备ID和表示针对在所述设备中发生的异常进行调整的时刻的调整时刻关联起来的调整历史数据,求出与所述设备ID对应的所述设备的调整频度,在所述调整频度超过针对所述设备预先设定的容许次数的情况下,判定为所述设备受到攻击。
2.根据权利要求1所述的攻击探测装置,其中,
还具备存储所述调整历史数据的存储部。
3.根据权利要求1或者2所述的攻击探测装置,其中,
所述攻击判定部进行:
通过从所述异常探测部取得所述异常探测结果,确定与包含于所述异常探测结果的所述设备ID对应的所述设备,进行关于确定的所述设备需要调整的报告,
取得响应于所述报告而进行针对发生所述异常的所述设备的调整的时刻,作为所述调整时刻,
通过将把所述设备ID和所述调整时刻关联起来的新的数据存储到所述存储部,更新所述调整历史数据。
4.根据权利要求1至3中的任意一项所述的攻击探测装置,其中,
在所述存储部中,还存储有包括用于求出每个所述设备ID的所述调整频度的时间宽度和所述容许次数的容许范围数据,
所述攻击判定部求出针对所述时间宽度的调整频度,在所述调整频度超过所述容许次数的情况下,判定为所述设备受到攻击。
5.根据权利要求4所述的攻击探测装置,其中,
还具备学习部,该学习部根据由所述攻击判定部判定的判定结果的历史,学习与所述设备ID关联起来存储到所述存储部的所述时间宽度以及所述容许次数,根据学习结果,更新所述容许范围数据。
6.一种攻击探测方法,具备:
异常探测步骤,通过取得包括用于识别设备的设备ID的异常探测结果,探测在与所述设备ID对应的设备中发生异常,发送所述异常探测结果;以及
攻击判定步骤,根据包含于在所述异常探测步骤中发送的所述异常探测结果的所述设备ID,从将所述设备ID和表示针对在所述设备中发生的异常进行调整的时刻的调整时刻关联起来的调整历史数据,求出与所述设备ID对应的所述设备的调整频度,在所述调整频度超过针对所述设备预先设定的容许次数的情况下,判定为所述设备受到攻击。
7.一种攻击探测程序,用于使计算机执行:
异常探测步骤,通过取得包括用于识别设备的设备ID的异常探测结果,探测在与所述设备ID对应的设备中发生异常,发送所述异常探测结果;以及
攻击判定步骤,根据包含于在所述异常探测步骤中发送的所述异常探测结果的所述设备ID,从将所述设备ID和表示针对在所述设备中发生的异常进行调整的时刻的调整时刻关联起来的调整历史数据,求出与所述设备ID对应的所述设备的调整频度,在所述调整频度超过针对所述设备预先设定的容许次数的情况下,判定为所述设备受到攻击。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2018/042550 WO2020100307A1 (ja) | 2018-11-16 | 2018-11-16 | 攻撃検知装置、攻撃検知方法、および攻撃検知プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112997177A true CN112997177A (zh) | 2021-06-18 |
| CN112997177B CN112997177B (zh) | 2024-07-26 |
Family
ID=70731441
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880099402.8A Active CN112997177B (zh) | 2018-11-16 | 2018-11-16 | 攻击探测装置、攻击探测方法以及攻击探测程序 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20210232686A1 (zh) |
| JP (1) | JP6862615B2 (zh) |
| KR (1) | KR102382134B1 (zh) |
| CN (1) | CN112997177B (zh) |
| DE (1) | DE112018008071B4 (zh) |
| TW (1) | TWI712911B (zh) |
| WO (1) | WO2020100307A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20230290193A1 (en) | 2022-03-08 | 2023-09-14 | Denso Corporation | Detecting tampering of an electronic device |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010152773A (ja) * | 2008-12-26 | 2010-07-08 | Mitsubishi Electric Corp | 攻撃判定装置及び攻撃判定方法及びプログラム |
| US20120209411A1 (en) * | 2011-02-15 | 2012-08-16 | International Business Machines Corporation | Abnormality Detection for Isolating a Control System |
| US20130103972A1 (en) * | 2011-10-24 | 2013-04-25 | Emre Özer | Data processing apparatus and method for analysing transient faults occurring within storage elements of the data processing apparatus |
| WO2015029150A1 (ja) * | 2013-08-28 | 2015-03-05 | 株式会社 日立製作所 | 保守サービス方法および保守サービスシステム |
| CN105303373A (zh) * | 2015-09-22 | 2016-02-03 | 深圳市新国都支付技术有限公司 | 一种频率防探测电路和方法 |
| US20170063894A1 (en) * | 2015-08-31 | 2017-03-02 | Splunk Inc. | Network Security Threat Detection by User/User-Entity Behavioral Analysis |
| CN108028784A (zh) * | 2016-01-08 | 2018-05-11 | 松下电器(美国)知识产权公司 | 不正常检测方法、监视电子控制单元以及车载网络系统 |
| CN108768942A (zh) * | 2018-04-20 | 2018-11-06 | 武汉绿色网络信息服务有限责任公司 | 一种基于自适应阈值的DDoS攻击检测方法和检测装置 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS54148428A (en) | 1978-05-15 | 1979-11-20 | Nec Corp | Phase converter circuit |
| JPH0814955A (ja) | 1994-07-01 | 1996-01-19 | Nissan Motor Co Ltd | 設備異常診断装置およびその方法 |
| JP4940220B2 (ja) * | 2008-10-15 | 2012-05-30 | 株式会社東芝 | 異常動作検出装置及びプログラム |
| KR20100078081A (ko) * | 2008-12-30 | 2010-07-08 | (주) 세인트 시큐리티 | 커널 기반 시스템 행위 분석을 통한 알려지지 않은 악성코드 탐지 시스템 및 방법 |
| US8375450B1 (en) * | 2009-10-05 | 2013-02-12 | Trend Micro, Inc. | Zero day malware scanner |
| DE112012000772B4 (de) * | 2011-03-28 | 2014-11-20 | International Business Machines Corporation | Anomalieerkennungssystem |
| CN102413127A (zh) * | 2011-11-09 | 2012-04-11 | 中国电力科学研究院 | 一种数据库综合安全防护方法 |
| US8904506B1 (en) | 2011-11-23 | 2014-12-02 | Amazon Technologies, Inc. | Dynamic account throttling |
| JP6606050B2 (ja) | 2016-11-02 | 2019-11-13 | 日本電信電話株式会社 | 検知装置、検知方法および検知プログラム |
| WO2018179329A1 (ja) * | 2017-03-31 | 2018-10-04 | 日本電気株式会社 | 抽出装置、抽出方法、コンピュータ可読媒体 |
-
2018
- 2018-11-16 WO PCT/JP2018/042550 patent/WO2020100307A1/ja active Application Filing
- 2018-11-16 CN CN201880099402.8A patent/CN112997177B/zh active Active
- 2018-11-16 KR KR1020217013351A patent/KR102382134B1/ko active IP Right Grant
- 2018-11-16 DE DE112018008071.4T patent/DE112018008071B4/de active Active
- 2018-11-16 JP JP2020556576A patent/JP6862615B2/ja active Active
-
2019
- 2019-05-15 TW TW108116706A patent/TWI712911B/zh active
-
2021
- 2021-04-12 US US17/227,752 patent/US20210232686A1/en active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010152773A (ja) * | 2008-12-26 | 2010-07-08 | Mitsubishi Electric Corp | 攻撃判定装置及び攻撃判定方法及びプログラム |
| US20120209411A1 (en) * | 2011-02-15 | 2012-08-16 | International Business Machines Corporation | Abnormality Detection for Isolating a Control System |
| US20130103972A1 (en) * | 2011-10-24 | 2013-04-25 | Emre Özer | Data processing apparatus and method for analysing transient faults occurring within storage elements of the data processing apparatus |
| WO2015029150A1 (ja) * | 2013-08-28 | 2015-03-05 | 株式会社 日立製作所 | 保守サービス方法および保守サービスシステム |
| US20170063894A1 (en) * | 2015-08-31 | 2017-03-02 | Splunk Inc. | Network Security Threat Detection by User/User-Entity Behavioral Analysis |
| CN105303373A (zh) * | 2015-09-22 | 2016-02-03 | 深圳市新国都支付技术有限公司 | 一种频率防探测电路和方法 |
| CN108028784A (zh) * | 2016-01-08 | 2018-05-11 | 松下电器(美国)知识产权公司 | 不正常检测方法、监视电子控制单元以及车载网络系统 |
| CN108768942A (zh) * | 2018-04-20 | 2018-11-06 | 武汉绿色网络信息服务有限责任公司 | 一种基于自适应阈值的DDoS攻击检测方法和检测装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| DE112018008071B4 (de) | 2023-08-31 |
| WO2020100307A1 (ja) | 2020-05-22 |
| KR20210057194A (ko) | 2021-05-20 |
| KR102382134B1 (ko) | 2022-04-01 |
| US20210232686A1 (en) | 2021-07-29 |
| CN112997177B (zh) | 2024-07-26 |
| TW202020709A (zh) | 2020-06-01 |
| DE112018008071T5 (de) | 2021-07-01 |
| TWI712911B (zh) | 2020-12-11 |
| JP6862615B2 (ja) | 2021-04-21 |
| JPWO2020100307A1 (ja) | 2021-02-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107871190B (zh) | 一种业务指标监控方法及装置 | |
| JP6585482B2 (ja) | 機器診断装置及びシステム及び方法 | |
| US20150269120A1 (en) | Model parameter calculation device, model parameter calculating method and non-transitory computer readable medium | |
| JP6749488B2 (ja) | 異常重要度算出システム、異常重要度算出装置、及び異常重要度算出プログラム | |
| WO2016159039A1 (ja) | 中継装置及びプログラム | |
| CN111814557A (zh) | 动作流检测方法、装置、设备及存储介质 | |
| WO2008127535A1 (en) | Machine condition monitoring using pattern rules | |
| US11489746B2 (en) | Detection device, detection method, and detection program | |
| CN112997177B (zh) | 攻击探测装置、攻击探测方法以及攻击探测程序 | |
| WO2020183539A1 (ja) | 故障診断システム、予測ルール生成方法、および予測ルール生成プログラム | |
| US9690639B2 (en) | Failure detecting apparatus and failure detecting method using patterns indicating occurrences of failures | |
| US10295965B2 (en) | Apparatus and method for model adaptation | |
| JP2012037991A (ja) | 予測装置、予測システム及びプログラム | |
| CN111555899A (zh) | 告警规则配置方法、设备状态监测方法、装置和存储介质 | |
| CN113434823B (zh) | 数据采集任务异常预警方法、装置、计算机设备和介质 | |
| CN113869373A (zh) | 设备异常检测方法、装置、计算机设备和存储介质 | |
| US10050772B2 (en) | Method and apparatus for generating standard pattern for data signals | |
| WO2020095993A1 (ja) | 推論装置、情報処理装置、推論方法、プログラム及び記録媒体 | |
| US20200112577A1 (en) | Graph-based sensor ranking | |
| TWI824681B (zh) | 裝置管理系統、裝置的障礙原因推測方法以及非暫時性地記憶程式的記憶媒體 | |
| JP2007164346A (ja) | 決定木変更方法、異常性判定方法およびプログラム | |
| CN118312567A (zh) | 数据库的数据同步方法、设备、介质及产品 | |
| CN116893649A (zh) | 故障诊断装置、非暂时性计算机可读记录介质以及故障诊断方法 | |
| CN111123226A (zh) | 一种车辆雷达异常检测的方法和相关装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |