Nothing Special   »   [go: up one dir, main page]

DE112018008071T5 - Angriffsdetektionsvorrichtung, angriffsdetektionsverfahren und angriffsdetektionsprogramm - Google Patents

Angriffsdetektionsvorrichtung, angriffsdetektionsverfahren und angriffsdetektionsprogramm Download PDF

Info

Publication number
DE112018008071T5
DE112018008071T5 DE112018008071.4T DE112018008071T DE112018008071T5 DE 112018008071 T5 DE112018008071 T5 DE 112018008071T5 DE 112018008071 T DE112018008071 T DE 112018008071T DE 112018008071 T5 DE112018008071 T5 DE 112018008071T5
Authority
DE
Germany
Prior art keywords
facility
correction
attack
anomaly
operations
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE112018008071.4T
Other languages
English (en)
Other versions
DE112018008071B4 (de
Inventor
Masashi TATEDOKO
Tsuyoshi Higuchi
Kiyoto Kawauchi
Takeshi Yoneda
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of DE112018008071T5 publication Critical patent/DE112018008071T5/de
Application granted granted Critical
Publication of DE112018008071B4 publication Critical patent/DE112018008071B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • G05B19/41815Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the cooperation between machine tools, manipulators and conveyor or other workpiece supply system, workcell
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q9/00Arrangements in telecontrol or telemetry systems for selectively calling a substation from a main station, in which substation desired apparatus is selected for applying a control signal thereto or for obtaining measured values therefrom
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Quality & Reliability (AREA)
  • Signal Processing (AREA)
  • Manufacturing & Machinery (AREA)
  • Automation & Control Theory (AREA)
  • Artificial Intelligence (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Mathematical Physics (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Selective Calling Equipment (AREA)

Abstract

Es wird eine Angriffsdetektionsvorrichtung angegeben, die aufweist: eine Anomaliedetektionseinheit, die dafür ausgelegt ist, durch Erfassen eines Anomaliedetektionsergebnisses, das eine Einrichtungs-ID einschließt, das Auftreten einer Anomalie in einer Einrichtung, die mit der Einrichtungs-ID assoziiert ist, zu detektieren; eine Speichereinheit, die dafür ausgelegt ist, Daten, welche die Einrichtungs-ID und eine Korrekturzeit assoziieren, als Korrekturverlaufsdaten zu speichern; und eine Angriffsfeststellungseinheit, die dafür ausgelegt ist, durch Ermitteln einer Frequenz von Korrekturvorgängen der Einrichtung aus den Korrekturverlaufsdaten, die in der Speichereinheit gespeichert sind, auf Basis eines Ergebnisses der Detektion durch die Anomaliedetektionseinheit festzustellen, dass es einen Angriff auf die mit der Einrichtungs-ID assoziierte Einrichtung gibt, wenn die Frequenz der Korrekturvorgänge eine zulässige Zahl von Vorgängen, die vorab für die Einrichtung eingestellt worden ist, überschreitet.

Description

  • Gebiet der Technik
  • Die vorliegenden Ergebnisse betrifft eine Angriffsdetektionsvorrichtung, ein Angriffsdetektionsverfahren und ein Angriffsdetektionsprogramm, mit denen ein Cyberangriff auf eine Einrichtung, beispielsweise einer Fabrik oder eines Werks, detektiert wird.
  • Allgemeiner technischer Hintergrund
  • Es gibt ein Verfahren zum Detektieren einer Anomalie, die in einer Einrichtung, beispielsweise einer Fabrik oder eines Werks, auftritt, wenn ein Normalzustand oder ein Fehlerzustand der Einrichtung bekannt ist, durch Vergleichen eines früheren Protokolls und eines aktuellen Verhaltens und durch Verwenden eines Grades einer Abweichung auf Basis eines Ergebnisses des Vergleichs (siehe beispielsweise Patentdokument 1 und Patentdokument 2).
  • Es gibt außerdem ein Verfahren zum Schätzen eines Normalzustands einer Einrichtung durch Adaptierung aus einem früheren Protokoll, wenn der Normalzustand der Einrichtung nicht vorab definiert werden kann (siehe beispielsweise Patentdokument 3).
  • Diese Verfahren der verwandten Technik sind wirksam für die Erfassung einer Anomalie, die in einer Einrichtung, beispielsweise einer Fabrik oder eines Werks, aufgetreten ist.
  • Liste der Anführungen
  • Patentliteratur
    • [PTL 1] JP 6148316 B2
    • [PTL 2] JP 2018-073258 A
    • [PTL 3] JP H08-014955 A
  • Kurzfassung der Erfindung
  • Technisches Problem
  • Jedoch ist eine Feststellung, ob die detektierte Anomalie durch ein Versagen oder eine Verschlechterung der Einrichtung selbst oder durch einen Cyberangriff von außen verursacht wird, mit jedem der oben beschriebenen Verfahren der verwandten Technik schwierig.
  • Die vorliegende Erfindung wurde gemacht, um das oben genannte Problem zu lösen, und ein Ziel der vorliegenden Erfindung ist daher die Schaffung einer Angriffsdetektionsvorrichtung, eines Angriffsdetektionsverfahrens und eines Angriffsdetektionsprogramms, mit denen festgestellt werden kann, ob oder ob nicht ein Cyberangriff eine Ursache einer detektierten Anomalie in einer Einrichtung ist.
  • Problemlösung
  • Gemäß einer Ausführungsform der vorliegenden Erfindung wird eine Angriffsdetektionsvorrichtung angegeben, die aufweist: eine Anomaliedetektionseinheit, die dafür ausgelegt ist, durch Erfassen eines Anomaliedetektionsergebnisses, das eine Einrichtungs-ID einschließt, die eine Einrichtung identifiziert, das Auftreten einer Anomalie in einer Einrichtung, die mit der Einrichtungs-ID assoziiert ist, zu detektieren; und eine Angriffsfeststellungseinheit, die dafür ausgelegt ist, durch eine auf der Einrichtungs-ID basierende Ermittlung einer Frequenz von Korrekturvorgängen der mit der Einrichtungs-ID assoziierten Einrichtung aus Korrekturverlaufsdaten festzustellen, dass es einen Angriff auf die Einrichtung gibt, die mit der Einrichtungs-ID assoziiert ist, die in dem von der Anomaliedetektionseinheit gesendeten Anomalieergebnis enthalten ist, wenn die Zahl der Korrekturvorgänge eine zulässige Zahl von Vorgängen überschreitet, die vorab für die Einrichtung eingestellt worden ist, wobei die Korrekturverlaufsdaten die Einrichtungs-ID mit einer Korrekturzeit assoziieren, zu der eine Anomalie, die in der Einrichtung aufgetreten ist, korrigiert wird.
  • Ferner wird gemäß einer Ausführungsform der vorliegenden Erfindung ein Angriffsdetektionsverfahren angegeben, das einschließt: einen Anomaliedetektionsschritt, um durch Erfassen eines Anomaliedetektionsergebnisses, das eine Einrichtungs-ID einschließt, die eine Einrichtung identifiziert, das Auftreten einer Anomalie in einer Einrichtung, die mit der Einrichtungs-ID assoziiert ist, zu detektieren und das Anomaliedetektionsergebnis zu versenden; und einen Angriffsfeststellungsschritt, um durch eine auf der Einrichtungs-ID basierende Ermittlung einer Frequenz von Korrekturvorgängen der mit der Einrichtungs-ID assoziierten Einrichtung aus Korrekturverlaufsdaten festzustellen, dass es einen Angriff auf die Einrichtung gibt, die mit der Einrichtungs-ID assoziiert ist, die in dem von der Anomaliedetektionseinheit gesendeten Anomalieergebnis enthalten ist, wenn die Frequenz der Korrekturvorgänge eine zulässige Zahl von Vorgängen überschreitet, die vorab für die Einrichtung eingestellt worden ist, wobei die Korrekturverlaufsdaten die Einrichtungs-ID mit einer Korrekturzeit assoziieren, zu der eine Anomalie, die in der Einrichtung aufgetreten ist, korrigiert wird.
  • Ferner wird gemäß einer Ausführungsform der vorliegenden Erfindung ein Angriffsdetektionsprogramm angegeben, das einen Computer veranlasst, folgendes auszuführen: einen Anomaliedetektionsschritt, um durch Erfassen eines Anomaliedetektionsergebnisses, das eine Einrichtungs-ID einschließt, die eine Einrichtung identifiziert, das Auftreten einer Anomalie in einer Einrichtung, die mit der Einrichtungs-ID assoziiert ist, zu detektieren und das Anomaliedetektionsergebnis zu versenden; und einen Angriffsfeststellungsschritt, um durch eine auf der Einrichtungs-ID basierende Ermittlung einer Frequenz von Korrekturvorgängen der mit der Einrichtungs-ID assoziierten Einrichtung aus Korrekturverlaufsdaten festzustellen, dass es einen Angriff auf die Einrichtung gibt, die mit der Einrichtungs-ID assoziiert ist, die in dem von der Anomaliedetektionseinheit gesendeten Anomalieergebnis enthalten ist, wenn die Frequenz der Korrekturvorgänge eine zulässige Zahl von Vorgängen überschreitet, die vorab für die Einrichtung eingestellt worden ist, wobei die Korrekturverlaufsdaten die Einrichtungs-ID mit einer Korrekturzeit assoziieren, zu der eine Anomalie, die in der Einrichtung aufgetreten ist, korrigiert wird.
  • Vorteilhafte Wirkungen der Erfindung
  • Gemäß der Angriffsdetektionsvorrichtung, dem Angriffsdetektionsverfahren und dem Angriffsdetektionsprogramm der vorliegenden Erfindung kann festgestellt werden, ob oder ob nicht der Cyberangriff ein Grund für die detektierte Anomalie in der Einrichtung ist.
  • Figurenliste
    • 1 ist ein Konfigurationsdiagramm eines Detektionsservers gemäß einer ersten Ausführungsform der vorliegenden Erfindung.
    • 2 ist eine Skizze zur Darstellung einer Datenkonfiguration von Korrekturverlaufsdaten, die in einer Speichereinheit in der ersten Ausführungsform der vorliegenden Erfindung zu speichern sind.
    • 3 ist eine Skizze zur Darstellung einer Konfiguration einer Verbindung zwischen dem Detektionsserver und einer Anomaliedetektionsvorrichtung gemäß der ersten Ausführungsform der vorliegenden Erfindung.
    • 4 ist eine Skizze zur Darstellung eines Beispiels für eine Hardware-Konfiguration, die sowohl den Detektionsserver als auch die Anomaliedetektionsvorrichtung gemäß der ersten Ausführungsform der vorliegenden Erfindung betrifft.
    • 5 ist ein Ablaufschema zur Darstellung einer Reihe von Schritten einer Angriffsdetektionsverarbeitung, die in einer Anomaliedetektionsvorrichtung gemäß der ersten Ausführungsform der vorliegenden Erfindung auszuführen ist.
    • 6 ist eine Tabelle, die ein Beispiel für Informationen zeigt, die in der Speichereinheit in der ersten Ausführungsform der vorliegenden Erfindung zu speichern ist.
    • 7 ist eine Skizze, die Korrekturverlaufsdaten in Form eines Graphen in der ersten Ausführungsform der vorliegenden Erfindung zeigt.
    • 8 ist ein Konfigurationsdiagramm eines Detektionsservers gemäß einer zweiten Ausführungsform der vorliegenden Erfindung.
    • 9 ist eine Skizze zur Darstellung von Datenkonfigurationen von Korrekturverlaufsdaten und einen zulässigen Bereich betreffenden Daten, die in einer Speichereinheit in der zweiten Ausführungsform der vorliegenden Erfindung zu speichern sind.
    • 10 ist ein Ablaufschema zur Darstellung einer Reihe von Schritten einer Angriffsdetektionsverarbeitung, die in einer Anomaliedetektionsvorrichtung gemäß der zweiten Ausführungsform der vorliegenden Erfindung auszuführen ist.
    • 11 ist ein Ablaufschema zur Darstellung einer Reihe von Schritten einer Lernverarbeitung, die für eine Fensterbreite durchzuführen sind, und einer zulässigen Zahl von Vorgängen in der Anomaliedetektionsvorrichtung gemäß der zweiten Ausführungsform der vorliegenden Erfindung.
  • Beschreibung von Ausführungsformen
  • Nun wird eine Beschreibung einer Angriffsdetektionsvorrichtung, eines Angriffsdetektionsverfahrens und eines Angriffsdetektionsprogramms gemäß bevorzugten Ausführungsformen der vorliegenden Erfindung unter Bezugnahme auf die begleitenden Zeichnungen gegeben. In den folgenden Ausführungsformen wird eine detaillierte Beschreibung einer Technologie gegeben, mit der ein Cyberangriff detektiert werden kann, durch Ermitteln einer Frequenz von Korrekturvorgängen für jede Einrichtung aus einem Anomalieverlauf, der für jede Einrichtung in einem festgestellten festen Zeitraum detektiert worden ist, und durch Feststellen, ob oder ob nicht die Frequenz der Korrekturvorgänge eine zulässige Zahl von Vorgängen überschreitet. In der folgenden Beschreibung wird ein Cyberangriff einfach als „Angriff“ bezeichnet.
  • Erste Ausführungsform
  • 1 ist ein Konfigurationsdiagramm eines Detektionsservers 101 gemäß einer ersten Ausführungsform der vorliegenden Erfindung. Der Detektionsserver 101 ist ein Beispiel für die Angriffsdetektionsvorrichtung. Der in 1 dargestellte Detektionsserver 101 weist eine Anomaliedetektionseinheit 111, eine Angriffsfeststellungseinheit 112 und eine Speichereinheit 120 auf. Die Speichereinheit 120 speichert Korrekturverlaufsdaten 121.
  • 2 ist eine Darstellung eines Beispiels für eine Datenkonfiguration der Korrekturverlaufsdaten 121, die in der Speichereinheit 120 in der ersten Ausführungsform der vorliegenden Erfindung zu speichern sind. Wie in 2 dargestellt ist, sind die Korrekturverlaufsdaten 121 so konfiguriert, dass sie Gegenstände, bei denen es sich um eine Korrekturzeit 211, eine Einrichtungs-ID 212 und Korrekturinhalte 213 handelt, miteinander assoziieren. Die Korrekturverlaufsdaten 121 sind nicht auf die Konfiguration von 2 beschränkt und können eine Konfiguration aufweisen, in der nur zwei Gegenstände, bei denen es sich um die Korrekturzeit 211 und die Einrichtungs-ID 212 handelt, miteinander assoziiert sind.
  • 3 ist eine Skizze zur Darstellung einer Konfiguration einer Verbindung zwischen dem Detektionsserver 101 und einer Anomaliedetektionsvorrichtung 301 gemäß der ersten Ausführungsform der vorliegenden Erfindung. Wie in 3 dargestellt ist, sind der Detektionsserver 101 und die Anomaliedetektionsvorrichtung 301 durch eine Kabelverbindung oder eine kabellose Verbindung verbunden, um eine Kommunikation zu- und voneinander aufrechtzuerhalten. Die Anomaliedetektionsvorrichtung 301 ist beispielsweise in einer Fabrik installiert und hat die Aufgabe, eine Anomalie zu detektieren, die in einer Einrichtung innerhalb der Fabrik stattfindet. Die Anomaliedetektionsvorrichtung 301 weist eine Anomaliedetektionseinheit 302 auf, die dafür ausgelegt ist, eine Anomalie einer Einrichtung zu detektieren.
  • Es kann eine Konfiguration verwendet werden, in der eine Mehrzahl von Anomaliedetektionsvorrichtungen 301 mit dem Detektionsserver 101 verbunden sind. Eine Mehrzahl von Anomaliedetektionsvorrichtungen 301, die als Netz konfiguriert sind, das eine Mehrzahl von Schichten aufweist, kann mit dem Detektionsserver 101 verbunden sein. Die Anomaliedetektionsvorrichtung 301 kann innerhalb des Detektionsservers 101 enthalten sein.
  • Der Detektionsserver 101 und die Anomaliedetektionsvorrichtung 301 weisen jeweils einen Computer auf, der eine zentrale Verarbeitungseinheit (CPU) aufweist. Funktionen der Anomaliedetektionseinheit 111 und der Angriffsfeststellungseinheit 112, die Komponenten des Detektionsservers 101 sind, werden von der CPU durch Ausführen eines Programms implementiert. Ebenso wird eine Funktion der Anomaliedetektionseinheit 302, die eine Komponente der Anomaliedetektionsvorrichtung 301 ist, von der CPU durch Ausführen eines Programms implementiert.
  • Ein Programm zum Ausführen einer Verarbeitung einer Komponente kann dafür ausgelegt sein, in einem Speichermedium gespeichert und von der CPU aus dem Speichermedium ausgelesen zu werden.
  • 4 ist eine Skizze zur Darstellung eines Beispiels für eine Hardware-Konfiguration, die sowohl den Detektionsserver 101 als auch die Anomaliedetektionsvorrichtung 301 gemäß der ersten Ausführungsform der vorliegenden Erfindung betrifft. Eine Rechenvorrichtung 401, eine externe Speichervorrichtung 402, eine Hauptspeichervorrichtung 403 und eine Kommunikationsvorrichtung 404 sind über einen Bus 405 miteinander verbunden.
  • Die Rechenvorrichtung 401 ist eine CPU, die dafür ausgelegt ist, ein Programm auszuführen. Die externe Speichervorrichtung 402 ist zum Beispiel ein Nur-Lese-Speicher (ROM) oder eine Festplatte. Die Hauptspeichervorrichtung 403 ist im Allgemeinen ein Direktzugriffsspeicher (Random Access Memory, RAM). Die Kommunikationsvorrichtung 404 ist im Allgemeinen eine Kommunikationskarte, die für das Ethernet (Warenzeichen) eingerichtet ist.
  • Programme werden im Allgemeinen in der externen Speichervorrichtung 402 gespeichert und nacheinander von der Rechenvorrichtung 401 ausgelesen, und eine Verarbeitung wird in einem Zustand ausgeführt, in dem diese Programm in die Hauptspeichervorrichtung 403 geladen worden sind. Die Programme implementieren Funktionen wie die „Anomaliedetektionseinheit 111“ und die „Angriffsfeststellungseinheit 112“, die in 1 dargestellt sind.
  • Die Speichereinheit 120, die in 1 dargestellt ist, wird beispielsweise von der externen Speichervorrichtung 402 implementiert. Die externe Speichervorrichtung 402 speichert außerdem ein Betriebssystem (im Folgenden auch als „OS“ bezeichnet), und zumindest ein Teil des OS wird in die Hauptspeichervorrichtung 403 geladen. Die Rechenvorrichtung 401 führt das OS aus und führt gleichzeitig die Programme aus, welche die Funktionen der in 1 dargestellten „Anomaliedetektionseinheit 111“ und der „Angriffsfeststellungseinheit 112“ implementieren.
  • Ferner werden in der Beschreibung der ersten Ausführungsform die Informationen, die Daten, ein Signalwert und ein Variablenwert, der ein Ergebnis der Verarbeitung angibt, jeweils in der Hauptspeichervorrichtung 403 als Datei gespeichert.
  • Die Konfiguration von 4 ist nur ein Beispiel für eine Hardware-Konfiguration von sowohl dem Detektionsserver 101 als auch der Anomaliedetektionsvorrichtung 301. Die Hardware-Konfiguration des Detektionsservers 101 und der Anomaliedetektionsvorrichtung 301 ist daher nicht auf die Darstellung von 4 beschränkt, und es kann auch eine andere Konfiguration verwendet werden. Zum Beispiel kann eine Anzeige oder können andere Ausgabevorrichtungen oder eine Maus, eine Tastatur oder andere Eingabevorrichtungen mit dem Bus 405 verbunden sein.
  • Der Detektionsserver 101 kann Informationsverarbeitungsverfahren in den Ausführungsformen der vorliegenden Erfindung implementieren, die in den Ausführungsformen unter Bezugnahme auf Ablaufschemata anhand von Schritten beschrieben sind.
  • Nun werden Operationen des Detektionsservers 101 unter Bezugnahme auf 1 bis 3 beschrieben. Einzelheiten der einzelnen Operationen werden weiter unten unter Bezugnahme auf ein Ablaufschema beschrieben.
  • Die Anomaliedetektionseinheit 111 erfasst ein Anomaliedetektionsergebnis, das von der Anomaliedetektionsvorrichtung 301 versendet wird. Das Anomaliedetektionsergebnis kann anhand beliebiger Verfahren erfasst werden, solange der Inhalt, der mit dem Verfahren erfasst wird, eine Anomaliedetektionszeit und eine Einrichtungs-ID einschließt.
  • Die Angriffsfeststellungseinheit 112 verwendet die Korrekturverlaufsdaten 121, die in der Speichereinheit 120 gespeichert sind, um eine Frequenz von Korrekturvorgängen in einem Zeitfenster zu ermitteln, das für jede Einrichtung separat eingestellt wird. Die Angriffsfeststellungseinheit 112 stellt ferner für jede Einrichtung separat fest, ob oder ob nicht die Frequenz der Korrekturvorgänge eine zulässige Zahl von Vorgängen überschreitet, um dadurch zu detektieren, dass die Einrichtung angegriffen worden ist. Die zulässige Zahl von Vorgängen kann ein Schwellenwert sein, der vorab eingestellt worden ist, oder kann durch eine Adaptierung aus einem früheren Korrekturverlauf eingestellt werden. Das Verfahren zum Feststellen der zulässigen Zahl von Vorgängen ist nicht beschränkt.
  • Nun wird eine Datenstruktur der Korrekturverlaufsdaten 121, die in der ersten Ausführungsform verwendet wird, unter Bezugnahme auf 2 beschrieben. Die Korrekturverlaufsdaten von 2 sind ein Beispiel für ein Format, das verwendet wird, um einen Korrekturverlauf zu speichern.
  • In 2 ist die Korrekturzeit 211 eine Informationen zur Identifizierung einer Zeit, zu der eine Anomalie korrigiert wurde, die in einer mit der Einrichtungs-ID assoziierten Einrichtung aufgetreten ist. Bei der Korrekturzeit 211 kann es sich um Daten handeln, die ein beliebiges Format aufweisen, solange die Daten als Datum und Uhrzeit erkennbar sind.
  • Die Einrichtungs-ID 212 ist eine eindeutige Kennung zum Identifizieren der Einrichtung, in der die Anomalie aufgetreten ist und korrigiert wurde.
  • Bei dem Korrekturinhalt 213 handelt es sich um Daten, die auf bestimmte Weise die ausgeführte Korrektur schildern.
  • 5 ist ein Ablaufschema zur Darstellung einer Reihe von Schritten einer Angriffsdetektionsverarbeitung, die in der Anomaliedetektionsvorrichtung gemäß der ersten Ausführungsform der vorliegenden Erfindung auszuführen ist. Die Angriffsdetektionsverarbeitung durch die Anomaliedetektionseinheit 111 und die Angriffsfeststellungseinheit 112, die im Detektionsserver 101 enthalten sind, wird weiter unten unter Bezugnahme auf das in 5 dargestellte Ablaufschema beschrieben. Hierbei wird angenommen, dass die Anomalie, die in einer Einrichtung aufgetreten ist, von der Anomaliedetektionsvorrichtung 301 bereits detektiert worden ist.
  • In Schritt S501 erfasst die Anomaliedetektionseinheit 111 ein Anomaliedetektionsergebnis zu der von der Anomaliedetektionsvorrichtung 301 detektierten Anomalie.
  • In Schritt S502 nimmt die Angriffsfeststellungseinheit 112 auf Basis der Einrichtungs-ID einer Einrichtung, an der in Schritt S501 die Anomalie detektiert worden ist, Bezug auf Korrekturverlaufsdaten 121, um die jüngste Frequenz von Korrekturvorgängen in einem eingestellten Zeitfenster zu erfassen.
  • In Schritt S503 vergleicht die Angriffsfeststellungseinheit 112 die in Schritt S502 erfasste jüngste Frequenz von Korrekturvorgängen mit einer zulässigen Zahl für die Frequenz von Korrekturvorgängen. Die Angriffsfeststellungseinheit 112 geht zu Schritt S504 weiter, wenn die in Schritt S502 erfasste jüngste Frequenz von Korrekturvorgängen die zulässige Zahl von Vorgängen überschreitet, und geht zu Schritt S505 weiter, wenn die erfasste jüngste Frequenz von Korrekturvorgängen die zulässige Zahl von Vorgängen nicht überschreitet.
  • Im Falle von Schritt S504 stellt die Angriffsfeststellungseinheit 112 fest, dass die Einrichtung, an der die Anomalie detektiert worden ist, möglicherweise angegriffen worden ist, und führt eine Meldung aus, um eine eingehende Untersuchung der Einrichtung anzufordern. Das Verfahren zum Anfordern einer eingehenden Untersuchung kann eine Meldung an eine Person sein, die auf einem Bildschirm angezeigt wird, eine automatisch versendete Nachricht oder irgendein anderes Verfahren, durch das der Beginn einer eingehenden Untersuchung der Einrichtung gemeldet werden kann.
  • Im Falle von Schritt S505 führt die Angriffsfeststellungseinheit 112 dagegen eine Meldung aus, um eine Korrektur anzufordern, mit der die Anomalie in einer Einrichtung, die in Schritt S501 detektiert wurde, behandelt werden soll, und zeichnet ein Korrekturergebnis einschließlich einer Korrekturzeit als Korrekturverlaufsdaten 121 auf. Das Verfahren zum Anfordern der Korrektur kann eine Meldung an eine Person sein, die als Nachricht, mit der die Korrektur angefordert wird, auf einem Bildschirm angezeigt wird, eine automatisch versendete Nachricht, mit der die Korrektur angeordert wird, oder irgendein anderes Verfahren, durch das der Beginn einer Korrektur der Einrichtung gemeldet werden kann.
  • Sowohl im Falle von Schritt S504 als auch im Falle von S505 erfasst die Angriffsfeststellungseinheit 112 die Zeit der Ausführung der Korrektur als Korrekturzeit, wenn die Einrichtung, an der die Anomalie aufgetreten ist, als Reaktion auf die von der Angriffsfeststellungseinheit 112 ausgeführte Meldung korrigiert wird. Die Angriffsfeststellungseinheit 112 speichert außerdem neue Daten, welche die erfasste Korrekturzeit und die Einrichtungs-ID miteinander assoziieren, in der Speichereinheit 120, um dadurch die Korrekturverlaufsdaten 121 zu aktualisieren.
  • 6 ist eine Skizze, in der ein Beispiel für die Korrekturverlaufsdaten 121, die in der Speichereinheit 120 in der ersten Ausführungsform der vorliegenden Erfindung zu speichern sind, als Korrekturverlaufsdaten 610 dargestellt sind. Ein konkretes Beispiel für die Detektion eines Angriffs wird nachstehend unter Bezugnahme auf 6 beschrieben.
  • Zunächst wird zuerst das Beispiel der Korrekturverlaufsdaten 610 beschrieben, die in 6 dargestellt sind. In 6 sind bereits zehn Korrekturverlaufseinträge als Korrekturverlaufsdaten 610 gespeichert worden. Der Inhalt jeder Zeile der Korrekturverlaufsdaten 610 schließt eine Zeit 611, eine Einrichtungs-ID 612 und einen Korrekturinhalt 613 ein.
  • 7 ist eine Skizze, welche die Korrekturverlaufsdaten 610 in Form eines Graphen 710 in der ersten Ausführungsform der vorliegenden Erfindung zeigt. Die Frequenz der Korrekturvorgänge wird unter Bezugnahme auf den Graphen 710 beschrieben. Eine vertikale Achse 711 des Graphen 710 gibt den Typ einer Fertigungseinrichtung an und entspricht der Einrichtungs-ID 612. Eine horizontale Achse 712 des Graphen 710 gibt die abgelaufene Zeit an und entspricht der Zeit 611. Die Zeit 611 und die Einrichtungs-ID 612, die in jeder Zeile der Korrekturverlaufsdaten 610 enthalten sind, entsprechen einem von Punkten 721, die auf dem Graphen 710 gezeigt sind.
  • Die Angriffsfeststellungseinheit 112 identifiziert einen Abschnitt 722, in dem Korrektureinträge auf dem in 7 gezeigten Graphen 710 häufig erscheinen. Wenn die Frequenz der Korrekturvorgänge in dem Abschnitt 722, in dem häufig Korrektureinträge erscheinen, eine zulässige Zahl von Vorgängen überschreitet, stellt die Angriffsfeststellungseinheit 112 fest, dass die Einrichtung möglicherweise angegriffen worden ist. Die zulässige Zahl der Vorgänge kann ein gemeinsamer Wert sein, der unabhängig ist von der Einrichtungs-ID 612, oder ein Wert, der für jede Einrichtungs-ID 612 anders ist.
  • Die Angriffsfeststellungseinheit 112 der Angriffsdetektionsvorrichtung gemäß der ersten Ausführungsform der vorliegenden Erfindung beginnt somit eine Angriffsdetektionsverarbeitung mit dem Anomaliedetektionsergebnis, das von der Anomaliedetektionseinheit 111 erfasst worden ist, als Ausgangspunkt. Die Angriffsfeststellungseinheit 112 verwendet dann die in der Speichereinheit 120 gespeicherten Korrekturverlaufsdaten 121, um für den Abschnitt, in dem häufig Korrektureinträge erscheinen, eine Frequenz von Korrekturvorgängen in einem eingestellten Zeitfenster zu ermitteln. Die Angriffsfeststellungseinheit 112 vergleicht die ermittelte Frequenz der Korrekturvorgänge und die zulässige Zahl von Vorgängen, um dadurch festzustellen, ob oder ob nicht die Einrichtung möglicherweise angegriffen worden ist. Das heißt, die Angriffsfeststellungseinheit 112 kann auf Basis der Frequenz einer Detektion einer Einrichtungsanomalie bestimmen, ob oder ob nicht ein Cyberangriff stattgefunden hat.
  • Die Verfahren des Standes der Technik sind auf die Detektion einer Anomalie beschränkt, die ein Zustand ist, der von einem bekannten Normalzustand verschieden ist. Die Verwendung der Angriffsdetektionsverarbeitung, die von der Angriffsdetektionsvorrichtung gemäß der zweiten Ausführungsform ausgeführt wird, bietet eine vorteilhafte Wirkung dahingehend, dass detektierbar ist, ob oder ob nicht ein Angriff eine Ursache der detektierten Anomalie ist.
  • Zweite Ausführungsform
  • In einer zweiten Ausführungsform der vorliegenden Erfindung wird ein Fall beschrieben, in dem eine Angriffsdetektionsvorrichtung eine Fensterbreite und eine zulässige Zahl von Vorgängen lernt, und die Fensterbreite und die zulässige Zahl von Vorgängen, die mit dem Ergebnis des Lernens aktualisiert worden sind, verwendet werden, um einen Detektionsserver zu implementieren, der in der Lage ist, durch Adaptierung einen Angriff zu detektieren.
  • 8 ist ein Konfigurationsdiagramm eines Detektionsservers 801 gemäß der zweiten Ausführungsform der vorliegenden Erfindung. Der Detektionsserver 801 ist ein Beispiel für die Angriffsdetektionsvorrichtung. Der in 8 dargestellte Detektionsserver 801 weist eine Anomaliedetektionseinheit 811, eine Angriffsfeststellungseinheit 812, eine Einheit 813 zum Lernen eines zulässigen Bereichs, die als Lerneinheit dient, und eine Speichereinheit 820 auf. Der Detektionsserver 801 von 8 wird konfiguriert durch Hinzufügen der Einheit 813 zum Lernen eines zulässigen Bereichs und von einen zulässigen Bereich betreffenden Daten 822 innerhalb der Speichereinheit 820 zum Detektionsserver 101 gemäß der vorangehenden ersten Ausführungsform. Die folgende Beschreibung ist auf diese neu hinzugefügten Komponenten gerichtet.
  • 9 ist eine Skizze zur Darstellung von Datenkonfigurationen von Korrekturverlaufsdaten 821 und den einen zulässigen Bereich betreffenden Daten 822, die in der Speichereinheit 820 in der zweiten Ausführungsform der vorliegenden Erfindung zu speichern sind. Die Korrekturverlaufsdaten 821 schließen eine Korrekturzeit 911, eine Einrichtungs-ID 912 und einen Korrekturinhalt 913 ein und weisen eine Konfiguration auf, die derjenigen der Korrekturverlaufsdaten 121 in der vorangehenden ersten Ausführungsform gleich ist. Auf die Beschreibung der Korrekturverlaufsdaten 821 wird daher verzichtet. Wie in 9 dargestellt ist, sind die einen zulässigen Bereich betreffenden Daten 822 so konfiguriert, dass sie Gegenstände, bei denen es sich um eine Einrichtungs-ID 921, eine Fensterbreite 922, eine zulässige Zahl von Vorgängen 923, eine Anwendungsstartzeit 924 und eine Anwendungsendzeit 925 handelt, miteinander assoziieren.
  • Operationen einer Lernfunktion durch den Detektionsserver 801 werden nachstehend unter Bezugnahme auf 8 beschrieben. Einzelheiten der Operationen werden weiter unten unter Bezugnahme auf ein Ablaufschema beschrieben. Die Operation der Anomaliedetektionseinheit 811 und die Operation der Angriffsfeststellungseinheit 812 sind denen der Anomaliedetektionseinheit 111 und der Angriffsfeststellungseinheit 112, die in der vorangehenden ersten Ausführungsform beschrieben worden sind, gleich, und somit wird auf ihre Beschreibung verzichtet.
  • Die Einheit 813 zum Lernen eines zulässigen Bereichs ist dafür ausgelegt, das Ergebnis der von einer Person oder eine Maschine durchgeführten Untersuchung aufgrund eines Angriffsfeststellungsergebnisses, das von der Angriffsfeststellungseinheit 812 geliefert wurde, in die einen zulässigen Bereich betreffenden Daten 822 zurückzukoppeln. Die Rückkopplung an die einen zulässigen Bereich betreffenden Daten 822 kann nach der Untersuchung wiedergegeben werden oder kann regelmäßig wiedergegeben werden.
  • Nun wird eine Datenstruktur, die in der zweiten Ausführungsform verwendet wird, unter Bezugnahme auf 9 beschrieben. Die Korrekturverlaufsdaten 821 von 9 sind den in der ersten Ausführungsform beschriebenen Korrekturverlaufsdaten 121 gleich, und daher wird auf ihre Beschreibung verzichtet.
  • Die Korrekturverlaufsdaten 822 von 9 sind ein Beispiel für ein Format, das verwendet wird, um einen zulässigen Bereich zu speichern.
  • Die Einrichtungs-ID 921 ist eine eindeutige Kennung zum Identifizieren einer Einrichtung, an der eine Korrektur ausgeführt worden ist.
  • Die Fensterbreite 922 ist eine Fensterbreite, die einem Zeitfenster entspricht, das verwendet wird, um eine Frequenz von Vorgängen in einem Korrekturverlauf für eine Angriffsfestzustellung zu zählen.
  • Die zulässige Zahl von Vorgängen 923 entspricht einem zulässigen oberen Grenzwert der Frequenz in dem Korrekturverlauf innerhalb der Fensterbreite 922.
  • Die Anwendungsstartzeit 924 ist eine Zeit, zu der eine Anwendung der Fensterbreite 922 und der zulässigen Zahl der Vorgänge 923 auf die Einrichtungs-ID 921 gestartet wird. Die Anwendungsstartzeit 924 kann in Form von Daten gespeichert werden, die ein beliebiges Format aufweisen, solange die Daten als Datum und Uhrzeit erkennbar sind.
  • Die Anwendungsendzeit 925 ist eine Zeit, zu der eine Anwendung der Fensterbreite 922 und der zulässigen Zahl von Vorgängen 923 auf die Einrichtungs-ID 921 beendet wird. Die Einstellung der Anwendungsendzeit 925 entfällt, wenn ein Abschaltpunkt für die Anwendung nicht klar ist, um dadurch alle Zeiten, die auf die Anwendungsstartzeit 924 folgen, als Lernziel einzuschließen. Bei der Anwendungsendzeit 925 kann es sich um Daten handeln, die ein beliebiges Format aufweisen, solange sie als Datum und Uhrzeit erkennbar sind und der Fall, in dem der Abschaltpunkt unklar ist, unterscheidbar ist.
  • 10 ist ein Ablaufschema zur Darstellung einer Reihe von Schritten einer Angriffsdetektionsverarbeitung, die in der Anomaliedetektionsvorrichtung gemäß der zweiten Ausführungsform der vorliegenden Erfindung auszuführen ist. Die Angriffsdetektionsverarbeitung durch die Anomaliedetektionseinheit 811 und die Angriffsfeststellungseinheit 812, die im Detektionsserver 801 enthalten sind, werden weiter unten unter Bezugnahme auf das in 10 dargestellte Ablaufschema beschrieben. Hierbei wird angenommen, dass die Anomalie, die in einer Einrichtung aufgetreten ist, von der Anomaliedetektionsvorrichtung 301 bereits detektiert worden ist.
  • Das in 10 dargestellte Ablaufschema ist das Ablaufschema, das in der vorangehenden ersten Ausführungsform unter Bezugnahme auf 5 beschrieben wurde, dem eine Feststellungsverarbeitung hinzugefügt wurde, die eine erlernte zulässige Zahl von Vorgängen verwendet.
  • In einem Schritt S1001 erfasst die Anomaliedetektionseinheit 811 ein Anomaliedetektionsergebnis zu der von der Anomaliedetektionsvorrichtung 301 detektierten Anomalie.
  • In einem Schritt S1002 nimmt die Angriffsfeststellungseinheit 812 Bezug auf die einen zulässigen Bereich betreffenden Daten 822 auf Basis einer Einrichtungs-ID einer Einrichtung, an der die Anomalie in Schritt S1001 detektiert wurde, um eine Fensterbreite und eine zulässige Zahl von Vorgängen in einer Zeile zu erfassen, in der die Zeit der Detektierung der Anomalie nach der Operationsstartzeit und vor der Anwendungsstartzeit liegt oder die Zeit der Detektierung der Anomalie nach der Anwendungsstartzeit liegt und die Anwendungsendzeit leer ist.
  • In einem Schritt S1003 nimmt die Angriffsfeststellungseinheit 812 auf Basis der Einrichtungs-ID der Einrichtung, an der in Schritt S1001 die Anomalie detektiert worden ist, Bezug auf Korrekturverlaufsdaten 821, um die jüngste Frequenz von Korrekturvorgängen zu erfassen. Die Angriffsfeststellungseinheit 812 verwendet die in Schritt S1002 erfasste Fensterbreite, um die jüngste Frequenz von Korrekturvorgängen der Einrichtung zu zählen, die in einem Zeitfenster liegt, das von der erfassten Fensterbreite angegeben wird. Genauer zählt die Angriffsfeststellungseinheit 812, wenn die Fensterbreite 3 Stunden beträgt, die Zahl der in den letzten 3 Stunden ausgeführten Korrekturvorgänge als die Frequenz der Korrekturvorgänge.
  • In einem Schritt S1004 vergleicht die Angriffsfeststellungseinheit 812 die zulässige Zahl von Vorgängen, die in Schritt S1002 erfasst wurde, mit der in Schritt S1003 erfassten jüngsten Frequenz von Korrekturvorgängen. Die Angriffsfeststellungseinheit 812 geht zu Schritt S1005 weiter, wenn die jüngste Frequenz von Korrekturvorgängen die zulässige Zahl von Vorgängen überschreitet, und geht zu Schritt S1006 weiter, wenn die erfasste jüngste Frequenz von Korrekturvorgängen die zulässige Zahl von Vorgängen nicht überschreitet.
  • Im Falle von Schritt S1005 stellt die Angriffsfeststellungseinheit 812 fest, dass die Einrichtung, an der die Anomalie detektiert worden ist, möglicherweise angegriffen worden ist, und führt eine Meldung aus, um eine eingehende Untersuchung der Einrichtung anzufordern. Das Verfahren zum Anfordern einer eingehenden Untersuchung kann eine Meldung an eine Person sein, die auf einem Bildschirm angezeigt wird, eine automatisch versendete Nachricht oder irgendein anderes Verfahren, durch das der Beginn einer eingehenden Untersuchung der Einrichtung gemeldet werden kann.
  • Im Falle von Schritt S1006 führt die Angriffsfeststellungseinheit 812 dagegen eine Meldung aus, um eine Korrektur anzufordern, mit der die Anomalie in einer Einrichtung, die in Schritt S1001 detektiert wurde, behandelt wird, und zeichnet ein Korrekturergebnis als Korrekturverlaufsdaten 821 auf. Das Verfahren zum Anfordern der Korrektur kann eine Meldung an eine Person sein, die als Nachricht, mit der die Korrektur angefordert wird, auf einem Bildschirm angezeigt wird, eine automatisch versendete Nachricht, mit der die Korrektur angeordert wird, oder irgendein anderes Verfahren, durch das der Beginn einer Korrektur der Einrichtung gemeldet werden kann.
  • 11 ist ein Ablaufschema zur Darstellung einer Reihe von Schritten einer Lernverarbeitung, die für eine Fensterbreite durchzuführen sind, und einer zulässigen Zahl von Vorgängen in der Anomaliedetektionsvorrichtung gemäß der zweiten Ausführungsform der vorliegenden Erfindung.
  • In einem Schritt S1101 erfasst die Einheit 813 zum Lernen eines zulässigen Bereichs eine Einrichtungs-ID einer Fertigungseinrichtung, die ein Lernziel ist. Die Einheit 813 zum Lernen eines zulässigen Bereichs kann die Einrichtungs-ID durch manuelle Eingabe, Wiedergabe eines Ergebnisses einer maschinell ausgeführten Untersuchung oder anhand irgendeines anderen Verfahrens erfassen, solange die Einrichtungs-ID, die anhand des Verfahrens erfasst wird, erkennbar ist.
  • In Schritt S1102 bezeichnet die Einheit 813 zum Lernen eines zulässigen Bereichs die einen zulässigen Bereich betreffenden Daten 822 auf Basis der in Schritt S1101 erfassten Einrichtungs-ID, um eine Fensterbreite und eine zulässige Zahl von Vorgängen zu erfassen, die in einer Zeile eingestellt sind, in der die jüngste Anwendungsstartzeit steht.
  • In einem Schritt S1103 lernt die Einheit 813 zum Lernen eines zulässigen Bereichs die Fensterbreite und die zulässige Zahl von Vorgängen, die in Schritt S1102 erfasst wurde, und überarbeitet die Fensterbreite und die zulässige Zahl von Vorgängen auf Basis des Ergebnisses der Feststellung durch die Angriffsfeststellungseinheit 812. Beispiele für ein konkretes Verfahren der Überarbeitung der Fensterbreite und der zulässigen Zahl von Vorgängen schließen ein: ein Verfahren, in dem die Fensterbreite und die zulässige Zahl von Vorgängen in einem Anfangszeitraum der Installation einer neuen Einrichtung klein eingestellt werden und dann auf Basis einer tatsächlichen Frequenz von Korrekturvorgängen geändert werden; ein Verfahren, in dem die Fensterbreite und die zulässige Zahl von Vorgängen auf Basis einer tatsächlichen Frequenz von Korrekturvorgängen geändert werden, wenn die Art eines gefertigten Produkts sich erheblich ändert; und ein Verfahren, in dem die zulässige Zahl von Vorgängen auf Basis der Verschlechterungstendenz der Einrichtung erhöht wird. Die Einheit 813 zum Lernen eines zulässigen Bereichs kann die Fensterbreite und die zulässige Zahl von Vorgängen durch ein statistisches Verfahren auf Basis eines früheren Verlaufs, eines Verfahrens, das maschinelles Lernen verwendet, oder anhand irgendwelcher anderer Verfahren überarbeiten, solange die Fensterbreite und die zulässige Zahl von Vorgängen durch das Verfahren quantifizierbar sind.
  • In einem Schritt S1104 aktualisiert die Einheit 813 zum Lernen eines zulässigen Bereichs die Anwendungsendzeit in der Zeile, auf die in Schritt S1102 Bezug genommen wird, mit einer Zeit zum Starten der Anwendung der Fensterbreite und der zulässigen Zahl von Vorgängen, die in Schritt S1103 überarbeitet worden sind. Die Einheit 813 zum Lernen eines zulässigen Bereichs fügt außerdem durch Einstellen dieser Zeit als Anwendungsstartzeit und Verwenden der Fensterbreite und der zulässigen Zahl von Vorgängen, die in Schritt S1103 überarbeitet worden sind, eine neue Zeile zu den einen zulässigen Bereich betreffenden Daten 822 hinzu.
  • In der neu hinzugefügten Zeile ist die Anwendungsendzeit „leer“ und die Einrichtungs-ID ist die Einrichtungs-ID, die in Schritt S1101 erfasst worden ist. Eine neue Zeile, in der die Fensterbreite und die zulässige Zahl von Vorgängen überarbeitet worden sind, kann für eine Einrichtung, die ein Lernziel ist, durch Ausführen dieser Reihe von Schritten oder Verarbeitungen hinzugefügt werden.
  • In der zweiten Ausführungsform bewirkt somit der Detektionsserver 801, dass die Einheit 813 zum Lernen eines zulässigen Bereichs die einen zulässigen Bereich betreffenden Daten 822, die in der Speichereinheit 120 gespeichert sind, auf Basis eines tatsächlichen Verhaltens von Einrichtungen lernt, um dadurch die einen zulässigen Bereich betreffenden Daten 822 für jede Einrichtung nacheinander mit einer geeigneten Fensterbreite und einer geeigneten zulässigen Zahl von Vorgängen zu aktualisieren. Infolgedessen wird die Präzision einer Angriffsfestzustellen noch mehr erhöht.
  • Dies stellt zusätzlich zu der Wirkung, die in der ersten Ausführungsform erzielt wird, eine zusätzliche Wirkung dahingehend bereit, dass ein Angriff mit hoher Präzision auch in solchen Fällen detektiert werden kann, wenn sich der Typ eines gefertigten Produkts erheblich ändert und wenn sich die Korrekturfrequenz aufgrund einer Verschlechterung allmählich ändert.
  • In der oben beschriebenen ersten Ausführungsform weist der Detektionsserver 101 die Speichereinheit 120 auf. Jedoch ist die Konfiguration nicht darauf beschränkt, und statt als Komponente des Detektionsservers 101 kann die Speichereinheit 120 außerhalb des Detektionsservers 101 als Komponente einer externen Vorrichtung bereitgestellt werden. In einem Beispiel einer Konfiguration für diesen Fall ist die Speichereinheit 120 in einer externen Vorrichtung bereitgestellt, die ein Server oder dergleichen ist, der außerhalb des Detektionsservers 101 installiert ist. Der Detektionsserver 101 erfasst aus dieser externen Vorrichtung die Korrekturverlaufsdaten 121, die in der Speichereinheit 120 der externen Vorrichtung akkumuliert sind, um festzustellen, ob oder ob nicht eine Einrichtung angegriffen worden ist. Das gleiche gilt für die Speichereinheit 820 des Detektionsservers 801 der zweiten Ausführungsform. Das heißt, statt als Komponente des Detektionsservers 801 kann die Speichereinheit 820 außerhalb des Detektionsservers 801 als Komponente einer externen Vorrichtung bereitgestellt werden. In diesem Fall können der Detektionsserver 801 und die Speichereinheit 820 beispielsweise die gleichen Konfigurationen aufweisen wie diejenigen des Detektionsservers 101 und der Speichereinheit 120, und auf ihre Beschreibung wird somit hier verzichtet.
  • Liste der Bezugszeichen
  • 101
    Detektionsserver (Angriffsdetektionsvorrichtung),
    111
    Anomaliedetektionseinheit,
    112
    Angriffsfeststellungseinheit,
    120
    Speichereinheit,
    121
    Korrekturverlaufsdaten,
    301
    Anomaliedetektionsvorrichtung,
    302
    Anomaliedetektionseinheit,
    401
    Rechenvorrichtung,
    402
    externe Speichervorrichtung,
    403
    Hauptspeichervorrichtung,
    404
    Kommunikationsvorrichtung,
    405
    Bus,
    801
    Detektionsserver (Angriffsdetektionsvorrichtung),
    811
    Anomaliedetektions einheit,
    812
    Angriffsfeststellungseinheit,
    813
    Einheit zum Lernen eines zulässigen Bereichs (Lerneinheit),
    820
    Speichereinheit,
    821
    Korrekturverlaufsdaten,
    822
    einen zulässigen Bereich betreffende Daten
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • JP 6148316 B2 [0004]
    • JP 2018073258 A [0004]
    • JP H08014955 A [0004]

Claims (7)

  1. Angriffsdetektionsvorrichtung, umfassend: eine Anomaliedetektionseinheit, die dafür ausgelegt ist, durch Erfassen eines Anomaliedetektionsergebnisses, das eine Einrichtungs-ID zur Identifizierung einer Einrichtung einschließt, das Auftreten einer Anomalie in einer mit der Einrichtungs-ID assoziierten Einrichtung zu detektieren; und eine Angriffsfeststellungseinheit, die dafür ausgelegt ist, durch eine auf der Einrichtungs-ID basierende Ermittlung einer Frequenz von Korrekturvorgängen der mit der Einrichtungs-ID assoziierten Einrichtung aus Korrekturverlaufsdaten festzustellen, dass die Einrichtung, die mit der in dem von der Anomaliedetektionseinheit gesendeten Anomalieergebnis enthaltenen Einrichtungs-ID assoziiert ist, einem Angriff ausgesetzt ist, wenn die Zahl der Korrekturvorgänge eine zulässige Zahl von Vorgängen überschreitet, die vorab für die Einrichtung eingestellt worden ist, wobei die Korrekturverlaufsdaten die Einrichtungs-ID mit einer Korrekturzeit assoziieren, zu der eine Anomalie, die in der Einrichtung aufgetreten ist, korrigiert wird.
  2. Angriffsdetektionsvorrichtung nach Anspruch 1, ferner eine Speichereinheit umfassend, die dafür ausgelegt ist, die Korrekturverlaufsdaten zu speichern.
  3. Angriffsdetektionsvorrichtung nach Anspruch 1 oder 2, wobei die Angriffsfeststellungseinheit ausgelegt ist zum: Identifizieren der Einrichtung, die mit der in dem Anomaliedetektionsergebnis enthaltenen Einrichtungs-ID assoziiert ist, durch Erfassen des Anomaliedetektionsergebnisses aus der Anomaliedetektionseinheit, und Melden, dass für die identifizierte Einrichtung eine Korrektur erforderlich ist; Erfassen einer Zeit, zu der die Einrichtung, in der die Anomalie aufgetreten ist, als Reaktion auf die Meldung korrigiert wird, als Korrekturzeit; und Aktualisieren der Korrekturverlaufsdaten durch Speichern neuer Daten, welche die Einrichtungs-ID und die Korrekturzeit miteinander assoziieren, in der Speichereinheit.
  4. Angriffsdetektionsvorrichtung nach einem der Ansprüche 1 bis 3, wobei die Speichereinheit dafür ausgelegt ist, ferner einen zulässigen Bereich betreffende Daten, die ein Zeitfenster für die Ermittlung der Frequenz von Korrekturvorgängen für jede Einrichtungs-ID einschließen, und die zulässige Zahl von Vorgängen zu speichern, und wobei die Angriffsfeststellungseinheit dafür ausgelegt ist, festzustellen, dass es einen Angriff auf die Einrichtung gibt, wenn eine Frequenz von Korrekturvorgängen innerhalb des Zeitfensters ermittelt wird und die ermittelte Frequenz von Korrekturvorgängen die zulässige Zahl von Vorgängen überschreitet.
  5. Angriffsdetektionsvorrichtung nach Anspruch 4, ferner eine Lerneinheit umfassend, die dafür ausgelegt ist, das Zeitfenster und die zulässige Zahl von Vorgängen, die assoziiert mit der Einrichtungs-ID in der Speichereinheit gespeichert sind, auf Basis eines Verlaufs von Ergebnissen einer Feststellung durch die Angriffsfeststellungseinheit zu lernen und die einen zulässigen Bereich betreffenden Daten auf Basis eines Ergebnisses des Lernens zu aktualisieren.
  6. Angriffsdetektionsverfahren, umfassend: einen Anomaliedetektionsschritt zum Erfassen eines Anomaliedetektionsergebnisses, das eine Einrichtungs-ID zur Identifizierung einer Einrichtung einschließt, und dadurch Detektieren des Auftretens einer Anomalie in einer Einrichtung, die mit der Einrichtungs-ID assoziiert ist, und zum Versenden des Anomaliedetektionsergebnisses; und einen Angriffsfeststellungsschritt, um durch eine auf der Einrichtungs-ID basierende Ermittlung einer Frequenz von Korrekturvorgängen der mit der Einrichtungs-ID assoziierten Einrichtung aus Korrekturverlaufsdaten festzustellen, dass die Einrichtung, die mit der Einrichtungs-ID assoziiert ist, die in dem in dem Anomaliedetektionsschritt gesendeten Anomalieergebnis enthalten ist, einem Angriff ausgesetzt ist, wenn die Zahl der Korrekturvorgänge eine zulässige Zahl von Vorgängen überschreitet, die vorab für die Einrichtung eingestellt worden ist, wobei die Korrekturverlaufsdaten die Einrichtungs-ID mit einer Korrekturzeit assoziieren, zu der eine Anomalie, die in der Einrichtung aufgetreten ist, korrigiert wird.
  7. Angriffsdetektionsprogramm, um einen Computer zu veranlassen, folgendes auszuführen: einen Anomaliedetektionsschritt zum Erfassen eines Anomaliedetektionsergebnisses, das eine Einrichtungs-ID zur Identifizierung einer Einrichtung einschließt, und dadurch Detektieren des Auftretens einer Anomalie in einer Einrichtung, die mit der Einrichtungs-ID assoziiert ist, und zum Versenden des Anomaliedetektionsergebnisses; und einen Angriffsfeststellungsschritt, um durch eine auf der Einrichtungs-ID basierende Ermittlung einer Frequenz von Korrekturvorgängen der mit der Einrichtungs-ID assoziierten Einrichtung aus Korrekturverlaufsdaten festzustellen, dass es einen Angriff auf die Einrichtung gibt, die mit der Einrichtungs-ID assoziiert ist, die in dem in dem Anomaliedetektionsschritt gesendeten Anomalieergebnis enthalten ist, wenn die Frequenz der Korrekturvorgänge eine zulässige Zahl von Vorgängen überschreitet, die vorab für die Einrichtung eingestellt worden ist, wobei die Korrekturverlaufsdaten die Einrichtungs-ID mit einer Korrekturzeit assoziieren, zu der eine Anomalie, die in der Einrichtung aufgetreten ist, korrigiert wird.
DE112018008071.4T 2018-11-16 2018-11-16 Angriffsdetektionsvorrichtung, angriffsdetektionsverfahren und angriffsdetektionsprogramm Active DE112018008071B4 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2018/042550 WO2020100307A1 (ja) 2018-11-16 2018-11-16 攻撃検知装置、攻撃検知方法、および攻撃検知プログラム

Publications (2)

Publication Number Publication Date
DE112018008071T5 true DE112018008071T5 (de) 2021-07-01
DE112018008071B4 DE112018008071B4 (de) 2023-08-31

Family

ID=70731441

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112018008071.4T Active DE112018008071B4 (de) 2018-11-16 2018-11-16 Angriffsdetektionsvorrichtung, angriffsdetektionsverfahren und angriffsdetektionsprogramm

Country Status (7)

Country Link
US (1) US20210232686A1 (de)
JP (1) JP6862615B2 (de)
KR (1) KR102382134B1 (de)
CN (1) CN112997177B (de)
DE (1) DE112018008071B4 (de)
TW (1) TWI712911B (de)
WO (1) WO2020100307A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230290193A1 (en) 2022-03-08 2023-09-14 Denso Corporation Detecting tampering of an electronic device

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS54148428A (en) 1978-05-15 1979-11-20 Nec Corp Phase converter circuit
JPH0814955A (ja) 1994-07-01 1996-01-19 Nissan Motor Co Ltd 設備異常診断装置およびその方法
JP4940220B2 (ja) * 2008-10-15 2012-05-30 株式会社東芝 異常動作検出装置及びプログラム
JP5264470B2 (ja) * 2008-12-26 2013-08-14 三菱電機株式会社 攻撃判定装置及びプログラム
KR20100078081A (ko) * 2008-12-30 2010-07-08 (주) 세인트 시큐리티 커널 기반 시스템 행위 분석을 통한 알려지지 않은 악성코드 탐지 시스템 및 방법
US8375450B1 (en) * 2009-10-05 2013-02-12 Trend Micro, Inc. Zero day malware scanner
JP5689333B2 (ja) * 2011-02-15 2015-03-25 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 異常検知システム、異常検知装置、異常検知方法、プログラムおよび記録媒体
DE112012000772B4 (de) * 2011-03-28 2014-11-20 International Business Machines Corporation Anomalieerkennungssystem
US8732523B2 (en) * 2011-10-24 2014-05-20 Arm Limited Data processing apparatus and method for analysing transient faults occurring within storage elements of the data processing apparatus
CN102413127A (zh) * 2011-11-09 2012-04-11 中国电力科学研究院 一种数据库综合安全防护方法
US8904506B1 (en) 2011-11-23 2014-12-02 Amazon Technologies, Inc. Dynamic account throttling
JP6192727B2 (ja) * 2013-08-28 2017-09-06 株式会社日立製作所 保守サービス方法および保守サービスシステム
US9699205B2 (en) * 2015-08-31 2017-07-04 Splunk Inc. Network security system
CN105303373B (zh) * 2015-09-22 2019-03-26 深圳市新国都支付技术有限公司 一种频率防探测电路和方法
JP6684690B2 (ja) * 2016-01-08 2020-04-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム
JP6606050B2 (ja) 2016-11-02 2019-11-13 日本電信電話株式会社 検知装置、検知方法および検知プログラム
US11405411B2 (en) * 2017-03-31 2022-08-02 Nec Corporation Extraction apparatus, extraction method, computer readable medium
CN108768942B (zh) * 2018-04-20 2020-10-30 武汉绿色网络信息服务有限责任公司 一种基于自适应阈值的DDoS攻击检测方法和检测装置

Also Published As

Publication number Publication date
KR102382134B1 (ko) 2022-04-01
DE112018008071B4 (de) 2023-08-31
KR20210057194A (ko) 2021-05-20
JPWO2020100307A1 (ja) 2021-02-25
WO2020100307A1 (ja) 2020-05-22
JP6862615B2 (ja) 2021-04-21
CN112997177B (zh) 2024-07-26
US20210232686A1 (en) 2021-07-29
TW202020709A (zh) 2020-06-01
CN112997177A (zh) 2021-06-18
TWI712911B (zh) 2020-12-11

Similar Documents

Publication Publication Date Title
DE102018107233A1 (de) Verfahren zur automatischen Prozessüberwachung und Prozessdiagnose eines stückbasierten Prozesses (batch-Fertigung), insbesondere eines Spritzgießprozesses und eine den Prozess durchführende Maschine oder ein den Prozess durchführender Maschinenpark
DE112016006545T5 (de) Informationsverarbeitungsvorrichtung, Informationsverarbeitungsverfahren und Informationsverarbeitungprogramm
EP3330816A1 (de) Verfahren zur softwareaktualisierung bei cloud-gateways, computerprogramm mit einer implementation des verfahrens und verarbeitungseinheit zur ausführung des verfahrens
DE112012006178T5 (de) Parametereinstellvorrichtung
DE102017220859A1 (de) Vorrichtung und Verfahren zum Detektieren eines Angriffs in einem Netzwerk
DE112016001586T5 (de) Relaisvorrichtung und Programm
DE112019005985T5 (de) Modellerstellungsvorrichtung, modellerstellungsverfahren und programm
DE102017123090A1 (de) Robotersystem und Wartungsverfahren zum Verfolgen von Informationen eines Moduls
DE112018005937T5 (de) Messlösungsdienstleistungssystem
DE112018008071B4 (de) Angriffsdetektionsvorrichtung, angriffsdetektionsverfahren und angriffsdetektionsprogramm
DE102017222327A1 (de) Verfahren zur automatisierten Prozesskontrolle einer Digitaldruckmaschine
EP3340250B1 (de) Bauteilidentifikation bei der fehlerbehandlung von medizinischen geräten
EP2073136A1 (de) System und Verfahren zum Erzeugen von Auswertedaten
DE112019003969T5 (de) Benachrichtigungsvorrichtung, Benachrichtigungsverfahren und Programm
EP2021922B1 (de) Verfahren und vorrichtung für ein fehlertoleranzmanagement einer softwarekomponente
DE112017006528T5 (de) Angriff/abnormalität-detektionsvorrichtung, angriff/abnormalität-detektionsverfahren und angriff/abnormalität-detektionsprogramm
DE112018007194T5 (de) Datenverarbeitungsgerät
DE112016006818T5 (de) Vor-ort-system
DE102016005567B4 (de) Spritzgießmaschine mit Einheit zum Speichern von Betriebszuständen
DE112018006856T5 (de) Fehlererkennungsvorrichtung, Überwachungssteuerungssystem und Fehlererkennungsverfahren
EP3588849A1 (de) Verfahren zum quantifizieren der zuverlässigkeit einer steuerfunktion, die durch mehrere unabhängige funktionseinheiten bereitgestellt wird; sowie steuereinrichtung
DE102018128640A1 (de) Vorrichtung zur Einschätzung einer Rauscherzeugungsursache
DE112018000259T5 (de) Numerische Steuervorrichtung und Informationsverarbeitungsvorrichtung
EP4332807A1 (de) Verfahren zum überwachen eines steuerprogramms zumindest einer funktionseinheit einer maschinenanlage, computerprogrammprodukt, computerlesbares speichermedium sowie elektronische recheneinrichtung
DE102022105157A1 (de) Zustandsdiagnosesystem

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final