-
Gebiet der Technik
-
Die vorliegenden Ergebnisse betrifft eine Angriffsdetektionsvorrichtung, ein Angriffsdetektionsverfahren und ein Angriffsdetektionsprogramm, mit denen ein Cyberangriff auf eine Einrichtung, beispielsweise einer Fabrik oder eines Werks, detektiert wird.
-
Allgemeiner technischer Hintergrund
-
Es gibt ein Verfahren zum Detektieren einer Anomalie, die in einer Einrichtung, beispielsweise einer Fabrik oder eines Werks, auftritt, wenn ein Normalzustand oder ein Fehlerzustand der Einrichtung bekannt ist, durch Vergleichen eines früheren Protokolls und eines aktuellen Verhaltens und durch Verwenden eines Grades einer Abweichung auf Basis eines Ergebnisses des Vergleichs (siehe beispielsweise Patentdokument 1 und Patentdokument 2).
-
Es gibt außerdem ein Verfahren zum Schätzen eines Normalzustands einer Einrichtung durch Adaptierung aus einem früheren Protokoll, wenn der Normalzustand der Einrichtung nicht vorab definiert werden kann (siehe beispielsweise Patentdokument 3).
-
Diese Verfahren der verwandten Technik sind wirksam für die Erfassung einer Anomalie, die in einer Einrichtung, beispielsweise einer Fabrik oder eines Werks, aufgetreten ist.
-
Liste der Anführungen
-
Patentliteratur
-
- [PTL 1] JP 6148316 B2
- [PTL 2] JP 2018-073258 A
- [PTL 3] JP H08-014955 A
-
Kurzfassung der Erfindung
-
Technisches Problem
-
Jedoch ist eine Feststellung, ob die detektierte Anomalie durch ein Versagen oder eine Verschlechterung der Einrichtung selbst oder durch einen Cyberangriff von außen verursacht wird, mit jedem der oben beschriebenen Verfahren der verwandten Technik schwierig.
-
Die vorliegende Erfindung wurde gemacht, um das oben genannte Problem zu lösen, und ein Ziel der vorliegenden Erfindung ist daher die Schaffung einer Angriffsdetektionsvorrichtung, eines Angriffsdetektionsverfahrens und eines Angriffsdetektionsprogramms, mit denen festgestellt werden kann, ob oder ob nicht ein Cyberangriff eine Ursache einer detektierten Anomalie in einer Einrichtung ist.
-
Problemlösung
-
Gemäß einer Ausführungsform der vorliegenden Erfindung wird eine Angriffsdetektionsvorrichtung angegeben, die aufweist: eine Anomaliedetektionseinheit, die dafür ausgelegt ist, durch Erfassen eines Anomaliedetektionsergebnisses, das eine Einrichtungs-ID einschließt, die eine Einrichtung identifiziert, das Auftreten einer Anomalie in einer Einrichtung, die mit der Einrichtungs-ID assoziiert ist, zu detektieren; und eine Angriffsfeststellungseinheit, die dafür ausgelegt ist, durch eine auf der Einrichtungs-ID basierende Ermittlung einer Frequenz von Korrekturvorgängen der mit der Einrichtungs-ID assoziierten Einrichtung aus Korrekturverlaufsdaten festzustellen, dass es einen Angriff auf die Einrichtung gibt, die mit der Einrichtungs-ID assoziiert ist, die in dem von der Anomaliedetektionseinheit gesendeten Anomalieergebnis enthalten ist, wenn die Zahl der Korrekturvorgänge eine zulässige Zahl von Vorgängen überschreitet, die vorab für die Einrichtung eingestellt worden ist, wobei die Korrekturverlaufsdaten die Einrichtungs-ID mit einer Korrekturzeit assoziieren, zu der eine Anomalie, die in der Einrichtung aufgetreten ist, korrigiert wird.
-
Ferner wird gemäß einer Ausführungsform der vorliegenden Erfindung ein Angriffsdetektionsverfahren angegeben, das einschließt: einen Anomaliedetektionsschritt, um durch Erfassen eines Anomaliedetektionsergebnisses, das eine Einrichtungs-ID einschließt, die eine Einrichtung identifiziert, das Auftreten einer Anomalie in einer Einrichtung, die mit der Einrichtungs-ID assoziiert ist, zu detektieren und das Anomaliedetektionsergebnis zu versenden; und einen Angriffsfeststellungsschritt, um durch eine auf der Einrichtungs-ID basierende Ermittlung einer Frequenz von Korrekturvorgängen der mit der Einrichtungs-ID assoziierten Einrichtung aus Korrekturverlaufsdaten festzustellen, dass es einen Angriff auf die Einrichtung gibt, die mit der Einrichtungs-ID assoziiert ist, die in dem von der Anomaliedetektionseinheit gesendeten Anomalieergebnis enthalten ist, wenn die Frequenz der Korrekturvorgänge eine zulässige Zahl von Vorgängen überschreitet, die vorab für die Einrichtung eingestellt worden ist, wobei die Korrekturverlaufsdaten die Einrichtungs-ID mit einer Korrekturzeit assoziieren, zu der eine Anomalie, die in der Einrichtung aufgetreten ist, korrigiert wird.
-
Ferner wird gemäß einer Ausführungsform der vorliegenden Erfindung ein Angriffsdetektionsprogramm angegeben, das einen Computer veranlasst, folgendes auszuführen: einen Anomaliedetektionsschritt, um durch Erfassen eines Anomaliedetektionsergebnisses, das eine Einrichtungs-ID einschließt, die eine Einrichtung identifiziert, das Auftreten einer Anomalie in einer Einrichtung, die mit der Einrichtungs-ID assoziiert ist, zu detektieren und das Anomaliedetektionsergebnis zu versenden; und einen Angriffsfeststellungsschritt, um durch eine auf der Einrichtungs-ID basierende Ermittlung einer Frequenz von Korrekturvorgängen der mit der Einrichtungs-ID assoziierten Einrichtung aus Korrekturverlaufsdaten festzustellen, dass es einen Angriff auf die Einrichtung gibt, die mit der Einrichtungs-ID assoziiert ist, die in dem von der Anomaliedetektionseinheit gesendeten Anomalieergebnis enthalten ist, wenn die Frequenz der Korrekturvorgänge eine zulässige Zahl von Vorgängen überschreitet, die vorab für die Einrichtung eingestellt worden ist, wobei die Korrekturverlaufsdaten die Einrichtungs-ID mit einer Korrekturzeit assoziieren, zu der eine Anomalie, die in der Einrichtung aufgetreten ist, korrigiert wird.
-
Vorteilhafte Wirkungen der Erfindung
-
Gemäß der Angriffsdetektionsvorrichtung, dem Angriffsdetektionsverfahren und dem Angriffsdetektionsprogramm der vorliegenden Erfindung kann festgestellt werden, ob oder ob nicht der Cyberangriff ein Grund für die detektierte Anomalie in der Einrichtung ist.
-
Figurenliste
-
- 1 ist ein Konfigurationsdiagramm eines Detektionsservers gemäß einer ersten Ausführungsform der vorliegenden Erfindung.
- 2 ist eine Skizze zur Darstellung einer Datenkonfiguration von Korrekturverlaufsdaten, die in einer Speichereinheit in der ersten Ausführungsform der vorliegenden Erfindung zu speichern sind.
- 3 ist eine Skizze zur Darstellung einer Konfiguration einer Verbindung zwischen dem Detektionsserver und einer Anomaliedetektionsvorrichtung gemäß der ersten Ausführungsform der vorliegenden Erfindung.
- 4 ist eine Skizze zur Darstellung eines Beispiels für eine Hardware-Konfiguration, die sowohl den Detektionsserver als auch die Anomaliedetektionsvorrichtung gemäß der ersten Ausführungsform der vorliegenden Erfindung betrifft.
- 5 ist ein Ablaufschema zur Darstellung einer Reihe von Schritten einer Angriffsdetektionsverarbeitung, die in einer Anomaliedetektionsvorrichtung gemäß der ersten Ausführungsform der vorliegenden Erfindung auszuführen ist.
- 6 ist eine Tabelle, die ein Beispiel für Informationen zeigt, die in der Speichereinheit in der ersten Ausführungsform der vorliegenden Erfindung zu speichern ist.
- 7 ist eine Skizze, die Korrekturverlaufsdaten in Form eines Graphen in der ersten Ausführungsform der vorliegenden Erfindung zeigt.
- 8 ist ein Konfigurationsdiagramm eines Detektionsservers gemäß einer zweiten Ausführungsform der vorliegenden Erfindung.
- 9 ist eine Skizze zur Darstellung von Datenkonfigurationen von Korrekturverlaufsdaten und einen zulässigen Bereich betreffenden Daten, die in einer Speichereinheit in der zweiten Ausführungsform der vorliegenden Erfindung zu speichern sind.
- 10 ist ein Ablaufschema zur Darstellung einer Reihe von Schritten einer Angriffsdetektionsverarbeitung, die in einer Anomaliedetektionsvorrichtung gemäß der zweiten Ausführungsform der vorliegenden Erfindung auszuführen ist.
- 11 ist ein Ablaufschema zur Darstellung einer Reihe von Schritten einer Lernverarbeitung, die für eine Fensterbreite durchzuführen sind, und einer zulässigen Zahl von Vorgängen in der Anomaliedetektionsvorrichtung gemäß der zweiten Ausführungsform der vorliegenden Erfindung.
-
Beschreibung von Ausführungsformen
-
Nun wird eine Beschreibung einer Angriffsdetektionsvorrichtung, eines Angriffsdetektionsverfahrens und eines Angriffsdetektionsprogramms gemäß bevorzugten Ausführungsformen der vorliegenden Erfindung unter Bezugnahme auf die begleitenden Zeichnungen gegeben. In den folgenden Ausführungsformen wird eine detaillierte Beschreibung einer Technologie gegeben, mit der ein Cyberangriff detektiert werden kann, durch Ermitteln einer Frequenz von Korrekturvorgängen für jede Einrichtung aus einem Anomalieverlauf, der für jede Einrichtung in einem festgestellten festen Zeitraum detektiert worden ist, und durch Feststellen, ob oder ob nicht die Frequenz der Korrekturvorgänge eine zulässige Zahl von Vorgängen überschreitet. In der folgenden Beschreibung wird ein Cyberangriff einfach als „Angriff“ bezeichnet.
-
Erste Ausführungsform
-
1 ist ein Konfigurationsdiagramm eines Detektionsservers 101 gemäß einer ersten Ausführungsform der vorliegenden Erfindung. Der Detektionsserver 101 ist ein Beispiel für die Angriffsdetektionsvorrichtung. Der in 1 dargestellte Detektionsserver 101 weist eine Anomaliedetektionseinheit 111, eine Angriffsfeststellungseinheit 112 und eine Speichereinheit 120 auf. Die Speichereinheit 120 speichert Korrekturverlaufsdaten 121.
-
2 ist eine Darstellung eines Beispiels für eine Datenkonfiguration der Korrekturverlaufsdaten 121, die in der Speichereinheit 120 in der ersten Ausführungsform der vorliegenden Erfindung zu speichern sind. Wie in 2 dargestellt ist, sind die Korrekturverlaufsdaten 121 so konfiguriert, dass sie Gegenstände, bei denen es sich um eine Korrekturzeit 211, eine Einrichtungs-ID 212 und Korrekturinhalte 213 handelt, miteinander assoziieren. Die Korrekturverlaufsdaten 121 sind nicht auf die Konfiguration von 2 beschränkt und können eine Konfiguration aufweisen, in der nur zwei Gegenstände, bei denen es sich um die Korrekturzeit 211 und die Einrichtungs-ID 212 handelt, miteinander assoziiert sind.
-
3 ist eine Skizze zur Darstellung einer Konfiguration einer Verbindung zwischen dem Detektionsserver 101 und einer Anomaliedetektionsvorrichtung 301 gemäß der ersten Ausführungsform der vorliegenden Erfindung. Wie in 3 dargestellt ist, sind der Detektionsserver 101 und die Anomaliedetektionsvorrichtung 301 durch eine Kabelverbindung oder eine kabellose Verbindung verbunden, um eine Kommunikation zu- und voneinander aufrechtzuerhalten. Die Anomaliedetektionsvorrichtung 301 ist beispielsweise in einer Fabrik installiert und hat die Aufgabe, eine Anomalie zu detektieren, die in einer Einrichtung innerhalb der Fabrik stattfindet. Die Anomaliedetektionsvorrichtung 301 weist eine Anomaliedetektionseinheit 302 auf, die dafür ausgelegt ist, eine Anomalie einer Einrichtung zu detektieren.
-
Es kann eine Konfiguration verwendet werden, in der eine Mehrzahl von Anomaliedetektionsvorrichtungen 301 mit dem Detektionsserver 101 verbunden sind. Eine Mehrzahl von Anomaliedetektionsvorrichtungen 301, die als Netz konfiguriert sind, das eine Mehrzahl von Schichten aufweist, kann mit dem Detektionsserver 101 verbunden sein. Die Anomaliedetektionsvorrichtung 301 kann innerhalb des Detektionsservers 101 enthalten sein.
-
Der Detektionsserver 101 und die Anomaliedetektionsvorrichtung 301 weisen jeweils einen Computer auf, der eine zentrale Verarbeitungseinheit (CPU) aufweist. Funktionen der Anomaliedetektionseinheit 111 und der Angriffsfeststellungseinheit 112, die Komponenten des Detektionsservers 101 sind, werden von der CPU durch Ausführen eines Programms implementiert. Ebenso wird eine Funktion der Anomaliedetektionseinheit 302, die eine Komponente der Anomaliedetektionsvorrichtung 301 ist, von der CPU durch Ausführen eines Programms implementiert.
-
Ein Programm zum Ausführen einer Verarbeitung einer Komponente kann dafür ausgelegt sein, in einem Speichermedium gespeichert und von der CPU aus dem Speichermedium ausgelesen zu werden.
-
4 ist eine Skizze zur Darstellung eines Beispiels für eine Hardware-Konfiguration, die sowohl den Detektionsserver 101 als auch die Anomaliedetektionsvorrichtung 301 gemäß der ersten Ausführungsform der vorliegenden Erfindung betrifft. Eine Rechenvorrichtung 401, eine externe Speichervorrichtung 402, eine Hauptspeichervorrichtung 403 und eine Kommunikationsvorrichtung 404 sind über einen Bus 405 miteinander verbunden.
-
Die Rechenvorrichtung 401 ist eine CPU, die dafür ausgelegt ist, ein Programm auszuführen. Die externe Speichervorrichtung 402 ist zum Beispiel ein Nur-Lese-Speicher (ROM) oder eine Festplatte. Die Hauptspeichervorrichtung 403 ist im Allgemeinen ein Direktzugriffsspeicher (Random Access Memory, RAM). Die Kommunikationsvorrichtung 404 ist im Allgemeinen eine Kommunikationskarte, die für das Ethernet (Warenzeichen) eingerichtet ist.
-
Programme werden im Allgemeinen in der externen Speichervorrichtung 402 gespeichert und nacheinander von der Rechenvorrichtung 401 ausgelesen, und eine Verarbeitung wird in einem Zustand ausgeführt, in dem diese Programm in die Hauptspeichervorrichtung 403 geladen worden sind. Die Programme implementieren Funktionen wie die „Anomaliedetektionseinheit 111“ und die „Angriffsfeststellungseinheit 112“, die in 1 dargestellt sind.
-
Die Speichereinheit 120, die in 1 dargestellt ist, wird beispielsweise von der externen Speichervorrichtung 402 implementiert. Die externe Speichervorrichtung 402 speichert außerdem ein Betriebssystem (im Folgenden auch als „OS“ bezeichnet), und zumindest ein Teil des OS wird in die Hauptspeichervorrichtung 403 geladen. Die Rechenvorrichtung 401 führt das OS aus und führt gleichzeitig die Programme aus, welche die Funktionen der in 1 dargestellten „Anomaliedetektionseinheit 111“ und der „Angriffsfeststellungseinheit 112“ implementieren.
-
Ferner werden in der Beschreibung der ersten Ausführungsform die Informationen, die Daten, ein Signalwert und ein Variablenwert, der ein Ergebnis der Verarbeitung angibt, jeweils in der Hauptspeichervorrichtung 403 als Datei gespeichert.
-
Die Konfiguration von 4 ist nur ein Beispiel für eine Hardware-Konfiguration von sowohl dem Detektionsserver 101 als auch der Anomaliedetektionsvorrichtung 301. Die Hardware-Konfiguration des Detektionsservers 101 und der Anomaliedetektionsvorrichtung 301 ist daher nicht auf die Darstellung von 4 beschränkt, und es kann auch eine andere Konfiguration verwendet werden. Zum Beispiel kann eine Anzeige oder können andere Ausgabevorrichtungen oder eine Maus, eine Tastatur oder andere Eingabevorrichtungen mit dem Bus 405 verbunden sein.
-
Der Detektionsserver 101 kann Informationsverarbeitungsverfahren in den Ausführungsformen der vorliegenden Erfindung implementieren, die in den Ausführungsformen unter Bezugnahme auf Ablaufschemata anhand von Schritten beschrieben sind.
-
Nun werden Operationen des Detektionsservers 101 unter Bezugnahme auf 1 bis 3 beschrieben. Einzelheiten der einzelnen Operationen werden weiter unten unter Bezugnahme auf ein Ablaufschema beschrieben.
-
Die Anomaliedetektionseinheit 111 erfasst ein Anomaliedetektionsergebnis, das von der Anomaliedetektionsvorrichtung 301 versendet wird. Das Anomaliedetektionsergebnis kann anhand beliebiger Verfahren erfasst werden, solange der Inhalt, der mit dem Verfahren erfasst wird, eine Anomaliedetektionszeit und eine Einrichtungs-ID einschließt.
-
Die Angriffsfeststellungseinheit 112 verwendet die Korrekturverlaufsdaten 121, die in der Speichereinheit 120 gespeichert sind, um eine Frequenz von Korrekturvorgängen in einem Zeitfenster zu ermitteln, das für jede Einrichtung separat eingestellt wird. Die Angriffsfeststellungseinheit 112 stellt ferner für jede Einrichtung separat fest, ob oder ob nicht die Frequenz der Korrekturvorgänge eine zulässige Zahl von Vorgängen überschreitet, um dadurch zu detektieren, dass die Einrichtung angegriffen worden ist. Die zulässige Zahl von Vorgängen kann ein Schwellenwert sein, der vorab eingestellt worden ist, oder kann durch eine Adaptierung aus einem früheren Korrekturverlauf eingestellt werden. Das Verfahren zum Feststellen der zulässigen Zahl von Vorgängen ist nicht beschränkt.
-
Nun wird eine Datenstruktur der Korrekturverlaufsdaten 121, die in der ersten Ausführungsform verwendet wird, unter Bezugnahme auf 2 beschrieben. Die Korrekturverlaufsdaten von 2 sind ein Beispiel für ein Format, das verwendet wird, um einen Korrekturverlauf zu speichern.
-
In 2 ist die Korrekturzeit 211 eine Informationen zur Identifizierung einer Zeit, zu der eine Anomalie korrigiert wurde, die in einer mit der Einrichtungs-ID assoziierten Einrichtung aufgetreten ist. Bei der Korrekturzeit 211 kann es sich um Daten handeln, die ein beliebiges Format aufweisen, solange die Daten als Datum und Uhrzeit erkennbar sind.
-
Die Einrichtungs-ID 212 ist eine eindeutige Kennung zum Identifizieren der Einrichtung, in der die Anomalie aufgetreten ist und korrigiert wurde.
-
Bei dem Korrekturinhalt 213 handelt es sich um Daten, die auf bestimmte Weise die ausgeführte Korrektur schildern.
-
5 ist ein Ablaufschema zur Darstellung einer Reihe von Schritten einer Angriffsdetektionsverarbeitung, die in der Anomaliedetektionsvorrichtung gemäß der ersten Ausführungsform der vorliegenden Erfindung auszuführen ist. Die Angriffsdetektionsverarbeitung durch die Anomaliedetektionseinheit 111 und die Angriffsfeststellungseinheit 112, die im Detektionsserver 101 enthalten sind, wird weiter unten unter Bezugnahme auf das in 5 dargestellte Ablaufschema beschrieben. Hierbei wird angenommen, dass die Anomalie, die in einer Einrichtung aufgetreten ist, von der Anomaliedetektionsvorrichtung 301 bereits detektiert worden ist.
-
In Schritt S501 erfasst die Anomaliedetektionseinheit 111 ein Anomaliedetektionsergebnis zu der von der Anomaliedetektionsvorrichtung 301 detektierten Anomalie.
-
In Schritt S502 nimmt die Angriffsfeststellungseinheit 112 auf Basis der Einrichtungs-ID einer Einrichtung, an der in Schritt S501 die Anomalie detektiert worden ist, Bezug auf Korrekturverlaufsdaten 121, um die jüngste Frequenz von Korrekturvorgängen in einem eingestellten Zeitfenster zu erfassen.
-
In Schritt S503 vergleicht die Angriffsfeststellungseinheit 112 die in Schritt S502 erfasste jüngste Frequenz von Korrekturvorgängen mit einer zulässigen Zahl für die Frequenz von Korrekturvorgängen. Die Angriffsfeststellungseinheit 112 geht zu Schritt S504 weiter, wenn die in Schritt S502 erfasste jüngste Frequenz von Korrekturvorgängen die zulässige Zahl von Vorgängen überschreitet, und geht zu Schritt S505 weiter, wenn die erfasste jüngste Frequenz von Korrekturvorgängen die zulässige Zahl von Vorgängen nicht überschreitet.
-
Im Falle von Schritt S504 stellt die Angriffsfeststellungseinheit 112 fest, dass die Einrichtung, an der die Anomalie detektiert worden ist, möglicherweise angegriffen worden ist, und führt eine Meldung aus, um eine eingehende Untersuchung der Einrichtung anzufordern. Das Verfahren zum Anfordern einer eingehenden Untersuchung kann eine Meldung an eine Person sein, die auf einem Bildschirm angezeigt wird, eine automatisch versendete Nachricht oder irgendein anderes Verfahren, durch das der Beginn einer eingehenden Untersuchung der Einrichtung gemeldet werden kann.
-
Im Falle von Schritt S505 führt die Angriffsfeststellungseinheit 112 dagegen eine Meldung aus, um eine Korrektur anzufordern, mit der die Anomalie in einer Einrichtung, die in Schritt S501 detektiert wurde, behandelt werden soll, und zeichnet ein Korrekturergebnis einschließlich einer Korrekturzeit als Korrekturverlaufsdaten 121 auf. Das Verfahren zum Anfordern der Korrektur kann eine Meldung an eine Person sein, die als Nachricht, mit der die Korrektur angefordert wird, auf einem Bildschirm angezeigt wird, eine automatisch versendete Nachricht, mit der die Korrektur angeordert wird, oder irgendein anderes Verfahren, durch das der Beginn einer Korrektur der Einrichtung gemeldet werden kann.
-
Sowohl im Falle von Schritt S504 als auch im Falle von S505 erfasst die Angriffsfeststellungseinheit 112 die Zeit der Ausführung der Korrektur als Korrekturzeit, wenn die Einrichtung, an der die Anomalie aufgetreten ist, als Reaktion auf die von der Angriffsfeststellungseinheit 112 ausgeführte Meldung korrigiert wird. Die Angriffsfeststellungseinheit 112 speichert außerdem neue Daten, welche die erfasste Korrekturzeit und die Einrichtungs-ID miteinander assoziieren, in der Speichereinheit 120, um dadurch die Korrekturverlaufsdaten 121 zu aktualisieren.
-
6 ist eine Skizze, in der ein Beispiel für die Korrekturverlaufsdaten 121, die in der Speichereinheit 120 in der ersten Ausführungsform der vorliegenden Erfindung zu speichern sind, als Korrekturverlaufsdaten 610 dargestellt sind. Ein konkretes Beispiel für die Detektion eines Angriffs wird nachstehend unter Bezugnahme auf 6 beschrieben.
-
Zunächst wird zuerst das Beispiel der Korrekturverlaufsdaten 610 beschrieben, die in 6 dargestellt sind. In 6 sind bereits zehn Korrekturverlaufseinträge als Korrekturverlaufsdaten 610 gespeichert worden. Der Inhalt jeder Zeile der Korrekturverlaufsdaten 610 schließt eine Zeit 611, eine Einrichtungs-ID 612 und einen Korrekturinhalt 613 ein.
-
7 ist eine Skizze, welche die Korrekturverlaufsdaten 610 in Form eines Graphen 710 in der ersten Ausführungsform der vorliegenden Erfindung zeigt. Die Frequenz der Korrekturvorgänge wird unter Bezugnahme auf den Graphen 710 beschrieben. Eine vertikale Achse 711 des Graphen 710 gibt den Typ einer Fertigungseinrichtung an und entspricht der Einrichtungs-ID 612. Eine horizontale Achse 712 des Graphen 710 gibt die abgelaufene Zeit an und entspricht der Zeit 611. Die Zeit 611 und die Einrichtungs-ID 612, die in jeder Zeile der Korrekturverlaufsdaten 610 enthalten sind, entsprechen einem von Punkten 721, die auf dem Graphen 710 gezeigt sind.
-
Die Angriffsfeststellungseinheit 112 identifiziert einen Abschnitt 722, in dem Korrektureinträge auf dem in 7 gezeigten Graphen 710 häufig erscheinen. Wenn die Frequenz der Korrekturvorgänge in dem Abschnitt 722, in dem häufig Korrektureinträge erscheinen, eine zulässige Zahl von Vorgängen überschreitet, stellt die Angriffsfeststellungseinheit 112 fest, dass die Einrichtung möglicherweise angegriffen worden ist. Die zulässige Zahl der Vorgänge kann ein gemeinsamer Wert sein, der unabhängig ist von der Einrichtungs-ID 612, oder ein Wert, der für jede Einrichtungs-ID 612 anders ist.
-
Die Angriffsfeststellungseinheit 112 der Angriffsdetektionsvorrichtung gemäß der ersten Ausführungsform der vorliegenden Erfindung beginnt somit eine Angriffsdetektionsverarbeitung mit dem Anomaliedetektionsergebnis, das von der Anomaliedetektionseinheit 111 erfasst worden ist, als Ausgangspunkt. Die Angriffsfeststellungseinheit 112 verwendet dann die in der Speichereinheit 120 gespeicherten Korrekturverlaufsdaten 121, um für den Abschnitt, in dem häufig Korrektureinträge erscheinen, eine Frequenz von Korrekturvorgängen in einem eingestellten Zeitfenster zu ermitteln. Die Angriffsfeststellungseinheit 112 vergleicht die ermittelte Frequenz der Korrekturvorgänge und die zulässige Zahl von Vorgängen, um dadurch festzustellen, ob oder ob nicht die Einrichtung möglicherweise angegriffen worden ist. Das heißt, die Angriffsfeststellungseinheit 112 kann auf Basis der Frequenz einer Detektion einer Einrichtungsanomalie bestimmen, ob oder ob nicht ein Cyberangriff stattgefunden hat.
-
Die Verfahren des Standes der Technik sind auf die Detektion einer Anomalie beschränkt, die ein Zustand ist, der von einem bekannten Normalzustand verschieden ist. Die Verwendung der Angriffsdetektionsverarbeitung, die von der Angriffsdetektionsvorrichtung gemäß der zweiten Ausführungsform ausgeführt wird, bietet eine vorteilhafte Wirkung dahingehend, dass detektierbar ist, ob oder ob nicht ein Angriff eine Ursache der detektierten Anomalie ist.
-
Zweite Ausführungsform
-
In einer zweiten Ausführungsform der vorliegenden Erfindung wird ein Fall beschrieben, in dem eine Angriffsdetektionsvorrichtung eine Fensterbreite und eine zulässige Zahl von Vorgängen lernt, und die Fensterbreite und die zulässige Zahl von Vorgängen, die mit dem Ergebnis des Lernens aktualisiert worden sind, verwendet werden, um einen Detektionsserver zu implementieren, der in der Lage ist, durch Adaptierung einen Angriff zu detektieren.
-
8 ist ein Konfigurationsdiagramm eines Detektionsservers 801 gemäß der zweiten Ausführungsform der vorliegenden Erfindung. Der Detektionsserver 801 ist ein Beispiel für die Angriffsdetektionsvorrichtung. Der in 8 dargestellte Detektionsserver 801 weist eine Anomaliedetektionseinheit 811, eine Angriffsfeststellungseinheit 812, eine Einheit 813 zum Lernen eines zulässigen Bereichs, die als Lerneinheit dient, und eine Speichereinheit 820 auf. Der Detektionsserver 801 von 8 wird konfiguriert durch Hinzufügen der Einheit 813 zum Lernen eines zulässigen Bereichs und von einen zulässigen Bereich betreffenden Daten 822 innerhalb der Speichereinheit 820 zum Detektionsserver 101 gemäß der vorangehenden ersten Ausführungsform. Die folgende Beschreibung ist auf diese neu hinzugefügten Komponenten gerichtet.
-
9 ist eine Skizze zur Darstellung von Datenkonfigurationen von Korrekturverlaufsdaten 821 und den einen zulässigen Bereich betreffenden Daten 822, die in der Speichereinheit 820 in der zweiten Ausführungsform der vorliegenden Erfindung zu speichern sind. Die Korrekturverlaufsdaten 821 schließen eine Korrekturzeit 911, eine Einrichtungs-ID 912 und einen Korrekturinhalt 913 ein und weisen eine Konfiguration auf, die derjenigen der Korrekturverlaufsdaten 121 in der vorangehenden ersten Ausführungsform gleich ist. Auf die Beschreibung der Korrekturverlaufsdaten 821 wird daher verzichtet. Wie in 9 dargestellt ist, sind die einen zulässigen Bereich betreffenden Daten 822 so konfiguriert, dass sie Gegenstände, bei denen es sich um eine Einrichtungs-ID 921, eine Fensterbreite 922, eine zulässige Zahl von Vorgängen 923, eine Anwendungsstartzeit 924 und eine Anwendungsendzeit 925 handelt, miteinander assoziieren.
-
Operationen einer Lernfunktion durch den Detektionsserver 801 werden nachstehend unter Bezugnahme auf 8 beschrieben. Einzelheiten der Operationen werden weiter unten unter Bezugnahme auf ein Ablaufschema beschrieben. Die Operation der Anomaliedetektionseinheit 811 und die Operation der Angriffsfeststellungseinheit 812 sind denen der Anomaliedetektionseinheit 111 und der Angriffsfeststellungseinheit 112, die in der vorangehenden ersten Ausführungsform beschrieben worden sind, gleich, und somit wird auf ihre Beschreibung verzichtet.
-
Die Einheit 813 zum Lernen eines zulässigen Bereichs ist dafür ausgelegt, das Ergebnis der von einer Person oder eine Maschine durchgeführten Untersuchung aufgrund eines Angriffsfeststellungsergebnisses, das von der Angriffsfeststellungseinheit 812 geliefert wurde, in die einen zulässigen Bereich betreffenden Daten 822 zurückzukoppeln. Die Rückkopplung an die einen zulässigen Bereich betreffenden Daten 822 kann nach der Untersuchung wiedergegeben werden oder kann regelmäßig wiedergegeben werden.
-
Nun wird eine Datenstruktur, die in der zweiten Ausführungsform verwendet wird, unter Bezugnahme auf 9 beschrieben. Die Korrekturverlaufsdaten 821 von 9 sind den in der ersten Ausführungsform beschriebenen Korrekturverlaufsdaten 121 gleich, und daher wird auf ihre Beschreibung verzichtet.
-
Die Korrekturverlaufsdaten 822 von 9 sind ein Beispiel für ein Format, das verwendet wird, um einen zulässigen Bereich zu speichern.
-
Die Einrichtungs-ID 921 ist eine eindeutige Kennung zum Identifizieren einer Einrichtung, an der eine Korrektur ausgeführt worden ist.
-
Die Fensterbreite 922 ist eine Fensterbreite, die einem Zeitfenster entspricht, das verwendet wird, um eine Frequenz von Vorgängen in einem Korrekturverlauf für eine Angriffsfestzustellung zu zählen.
-
Die zulässige Zahl von Vorgängen 923 entspricht einem zulässigen oberen Grenzwert der Frequenz in dem Korrekturverlauf innerhalb der Fensterbreite 922.
-
Die Anwendungsstartzeit 924 ist eine Zeit, zu der eine Anwendung der Fensterbreite 922 und der zulässigen Zahl der Vorgänge 923 auf die Einrichtungs-ID 921 gestartet wird. Die Anwendungsstartzeit 924 kann in Form von Daten gespeichert werden, die ein beliebiges Format aufweisen, solange die Daten als Datum und Uhrzeit erkennbar sind.
-
Die Anwendungsendzeit 925 ist eine Zeit, zu der eine Anwendung der Fensterbreite 922 und der zulässigen Zahl von Vorgängen 923 auf die Einrichtungs-ID 921 beendet wird. Die Einstellung der Anwendungsendzeit 925 entfällt, wenn ein Abschaltpunkt für die Anwendung nicht klar ist, um dadurch alle Zeiten, die auf die Anwendungsstartzeit 924 folgen, als Lernziel einzuschließen. Bei der Anwendungsendzeit 925 kann es sich um Daten handeln, die ein beliebiges Format aufweisen, solange sie als Datum und Uhrzeit erkennbar sind und der Fall, in dem der Abschaltpunkt unklar ist, unterscheidbar ist.
-
10 ist ein Ablaufschema zur Darstellung einer Reihe von Schritten einer Angriffsdetektionsverarbeitung, die in der Anomaliedetektionsvorrichtung gemäß der zweiten Ausführungsform der vorliegenden Erfindung auszuführen ist. Die Angriffsdetektionsverarbeitung durch die Anomaliedetektionseinheit 811 und die Angriffsfeststellungseinheit 812, die im Detektionsserver 801 enthalten sind, werden weiter unten unter Bezugnahme auf das in 10 dargestellte Ablaufschema beschrieben. Hierbei wird angenommen, dass die Anomalie, die in einer Einrichtung aufgetreten ist, von der Anomaliedetektionsvorrichtung 301 bereits detektiert worden ist.
-
Das in 10 dargestellte Ablaufschema ist das Ablaufschema, das in der vorangehenden ersten Ausführungsform unter Bezugnahme auf 5 beschrieben wurde, dem eine Feststellungsverarbeitung hinzugefügt wurde, die eine erlernte zulässige Zahl von Vorgängen verwendet.
-
In einem Schritt S1001 erfasst die Anomaliedetektionseinheit 811 ein Anomaliedetektionsergebnis zu der von der Anomaliedetektionsvorrichtung 301 detektierten Anomalie.
-
In einem Schritt S1002 nimmt die Angriffsfeststellungseinheit 812 Bezug auf die einen zulässigen Bereich betreffenden Daten 822 auf Basis einer Einrichtungs-ID einer Einrichtung, an der die Anomalie in Schritt S1001 detektiert wurde, um eine Fensterbreite und eine zulässige Zahl von Vorgängen in einer Zeile zu erfassen, in der die Zeit der Detektierung der Anomalie nach der Operationsstartzeit und vor der Anwendungsstartzeit liegt oder die Zeit der Detektierung der Anomalie nach der Anwendungsstartzeit liegt und die Anwendungsendzeit leer ist.
-
In einem Schritt S1003 nimmt die Angriffsfeststellungseinheit 812 auf Basis der Einrichtungs-ID der Einrichtung, an der in Schritt S1001 die Anomalie detektiert worden ist, Bezug auf Korrekturverlaufsdaten 821, um die jüngste Frequenz von Korrekturvorgängen zu erfassen. Die Angriffsfeststellungseinheit 812 verwendet die in Schritt S1002 erfasste Fensterbreite, um die jüngste Frequenz von Korrekturvorgängen der Einrichtung zu zählen, die in einem Zeitfenster liegt, das von der erfassten Fensterbreite angegeben wird. Genauer zählt die Angriffsfeststellungseinheit 812, wenn die Fensterbreite 3 Stunden beträgt, die Zahl der in den letzten 3 Stunden ausgeführten Korrekturvorgänge als die Frequenz der Korrekturvorgänge.
-
In einem Schritt S1004 vergleicht die Angriffsfeststellungseinheit 812 die zulässige Zahl von Vorgängen, die in Schritt S1002 erfasst wurde, mit der in Schritt S1003 erfassten jüngsten Frequenz von Korrekturvorgängen. Die Angriffsfeststellungseinheit 812 geht zu Schritt S1005 weiter, wenn die jüngste Frequenz von Korrekturvorgängen die zulässige Zahl von Vorgängen überschreitet, und geht zu Schritt S1006 weiter, wenn die erfasste jüngste Frequenz von Korrekturvorgängen die zulässige Zahl von Vorgängen nicht überschreitet.
-
Im Falle von Schritt S1005 stellt die Angriffsfeststellungseinheit 812 fest, dass die Einrichtung, an der die Anomalie detektiert worden ist, möglicherweise angegriffen worden ist, und führt eine Meldung aus, um eine eingehende Untersuchung der Einrichtung anzufordern. Das Verfahren zum Anfordern einer eingehenden Untersuchung kann eine Meldung an eine Person sein, die auf einem Bildschirm angezeigt wird, eine automatisch versendete Nachricht oder irgendein anderes Verfahren, durch das der Beginn einer eingehenden Untersuchung der Einrichtung gemeldet werden kann.
-
Im Falle von Schritt S1006 führt die Angriffsfeststellungseinheit 812 dagegen eine Meldung aus, um eine Korrektur anzufordern, mit der die Anomalie in einer Einrichtung, die in Schritt S1001 detektiert wurde, behandelt wird, und zeichnet ein Korrekturergebnis als Korrekturverlaufsdaten 821 auf. Das Verfahren zum Anfordern der Korrektur kann eine Meldung an eine Person sein, die als Nachricht, mit der die Korrektur angefordert wird, auf einem Bildschirm angezeigt wird, eine automatisch versendete Nachricht, mit der die Korrektur angeordert wird, oder irgendein anderes Verfahren, durch das der Beginn einer Korrektur der Einrichtung gemeldet werden kann.
-
11 ist ein Ablaufschema zur Darstellung einer Reihe von Schritten einer Lernverarbeitung, die für eine Fensterbreite durchzuführen sind, und einer zulässigen Zahl von Vorgängen in der Anomaliedetektionsvorrichtung gemäß der zweiten Ausführungsform der vorliegenden Erfindung.
-
In einem Schritt S1101 erfasst die Einheit 813 zum Lernen eines zulässigen Bereichs eine Einrichtungs-ID einer Fertigungseinrichtung, die ein Lernziel ist. Die Einheit 813 zum Lernen eines zulässigen Bereichs kann die Einrichtungs-ID durch manuelle Eingabe, Wiedergabe eines Ergebnisses einer maschinell ausgeführten Untersuchung oder anhand irgendeines anderen Verfahrens erfassen, solange die Einrichtungs-ID, die anhand des Verfahrens erfasst wird, erkennbar ist.
-
In Schritt S1102 bezeichnet die Einheit 813 zum Lernen eines zulässigen Bereichs die einen zulässigen Bereich betreffenden Daten 822 auf Basis der in Schritt S1101 erfassten Einrichtungs-ID, um eine Fensterbreite und eine zulässige Zahl von Vorgängen zu erfassen, die in einer Zeile eingestellt sind, in der die jüngste Anwendungsstartzeit steht.
-
In einem Schritt S1103 lernt die Einheit 813 zum Lernen eines zulässigen Bereichs die Fensterbreite und die zulässige Zahl von Vorgängen, die in Schritt S1102 erfasst wurde, und überarbeitet die Fensterbreite und die zulässige Zahl von Vorgängen auf Basis des Ergebnisses der Feststellung durch die Angriffsfeststellungseinheit 812. Beispiele für ein konkretes Verfahren der Überarbeitung der Fensterbreite und der zulässigen Zahl von Vorgängen schließen ein: ein Verfahren, in dem die Fensterbreite und die zulässige Zahl von Vorgängen in einem Anfangszeitraum der Installation einer neuen Einrichtung klein eingestellt werden und dann auf Basis einer tatsächlichen Frequenz von Korrekturvorgängen geändert werden; ein Verfahren, in dem die Fensterbreite und die zulässige Zahl von Vorgängen auf Basis einer tatsächlichen Frequenz von Korrekturvorgängen geändert werden, wenn die Art eines gefertigten Produkts sich erheblich ändert; und ein Verfahren, in dem die zulässige Zahl von Vorgängen auf Basis der Verschlechterungstendenz der Einrichtung erhöht wird. Die Einheit 813 zum Lernen eines zulässigen Bereichs kann die Fensterbreite und die zulässige Zahl von Vorgängen durch ein statistisches Verfahren auf Basis eines früheren Verlaufs, eines Verfahrens, das maschinelles Lernen verwendet, oder anhand irgendwelcher anderer Verfahren überarbeiten, solange die Fensterbreite und die zulässige Zahl von Vorgängen durch das Verfahren quantifizierbar sind.
-
In einem Schritt S1104 aktualisiert die Einheit 813 zum Lernen eines zulässigen Bereichs die Anwendungsendzeit in der Zeile, auf die in Schritt S1102 Bezug genommen wird, mit einer Zeit zum Starten der Anwendung der Fensterbreite und der zulässigen Zahl von Vorgängen, die in Schritt S1103 überarbeitet worden sind. Die Einheit 813 zum Lernen eines zulässigen Bereichs fügt außerdem durch Einstellen dieser Zeit als Anwendungsstartzeit und Verwenden der Fensterbreite und der zulässigen Zahl von Vorgängen, die in Schritt S1103 überarbeitet worden sind, eine neue Zeile zu den einen zulässigen Bereich betreffenden Daten 822 hinzu.
-
In der neu hinzugefügten Zeile ist die Anwendungsendzeit „leer“ und die Einrichtungs-ID ist die Einrichtungs-ID, die in Schritt S1101 erfasst worden ist. Eine neue Zeile, in der die Fensterbreite und die zulässige Zahl von Vorgängen überarbeitet worden sind, kann für eine Einrichtung, die ein Lernziel ist, durch Ausführen dieser Reihe von Schritten oder Verarbeitungen hinzugefügt werden.
-
In der zweiten Ausführungsform bewirkt somit der Detektionsserver 801, dass die Einheit 813 zum Lernen eines zulässigen Bereichs die einen zulässigen Bereich betreffenden Daten 822, die in der Speichereinheit 120 gespeichert sind, auf Basis eines tatsächlichen Verhaltens von Einrichtungen lernt, um dadurch die einen zulässigen Bereich betreffenden Daten 822 für jede Einrichtung nacheinander mit einer geeigneten Fensterbreite und einer geeigneten zulässigen Zahl von Vorgängen zu aktualisieren. Infolgedessen wird die Präzision einer Angriffsfestzustellen noch mehr erhöht.
-
Dies stellt zusätzlich zu der Wirkung, die in der ersten Ausführungsform erzielt wird, eine zusätzliche Wirkung dahingehend bereit, dass ein Angriff mit hoher Präzision auch in solchen Fällen detektiert werden kann, wenn sich der Typ eines gefertigten Produkts erheblich ändert und wenn sich die Korrekturfrequenz aufgrund einer Verschlechterung allmählich ändert.
-
In der oben beschriebenen ersten Ausführungsform weist der Detektionsserver 101 die Speichereinheit 120 auf. Jedoch ist die Konfiguration nicht darauf beschränkt, und statt als Komponente des Detektionsservers 101 kann die Speichereinheit 120 außerhalb des Detektionsservers 101 als Komponente einer externen Vorrichtung bereitgestellt werden. In einem Beispiel einer Konfiguration für diesen Fall ist die Speichereinheit 120 in einer externen Vorrichtung bereitgestellt, die ein Server oder dergleichen ist, der außerhalb des Detektionsservers 101 installiert ist. Der Detektionsserver 101 erfasst aus dieser externen Vorrichtung die Korrekturverlaufsdaten 121, die in der Speichereinheit 120 der externen Vorrichtung akkumuliert sind, um festzustellen, ob oder ob nicht eine Einrichtung angegriffen worden ist. Das gleiche gilt für die Speichereinheit 820 des Detektionsservers 801 der zweiten Ausführungsform. Das heißt, statt als Komponente des Detektionsservers 801 kann die Speichereinheit 820 außerhalb des Detektionsservers 801 als Komponente einer externen Vorrichtung bereitgestellt werden. In diesem Fall können der Detektionsserver 801 und die Speichereinheit 820 beispielsweise die gleichen Konfigurationen aufweisen wie diejenigen des Detektionsservers 101 und der Speichereinheit 120, und auf ihre Beschreibung wird somit hier verzichtet.
-
Liste der Bezugszeichen
-
- 101
- Detektionsserver (Angriffsdetektionsvorrichtung),
- 111
- Anomaliedetektionseinheit,
- 112
- Angriffsfeststellungseinheit,
- 120
- Speichereinheit,
- 121
- Korrekturverlaufsdaten,
- 301
- Anomaliedetektionsvorrichtung,
- 302
- Anomaliedetektionseinheit,
- 401
- Rechenvorrichtung,
- 402
- externe Speichervorrichtung,
- 403
- Hauptspeichervorrichtung,
- 404
- Kommunikationsvorrichtung,
- 405
- Bus,
- 801
- Detektionsserver (Angriffsdetektionsvorrichtung),
- 811
- Anomaliedetektions einheit,
- 812
- Angriffsfeststellungseinheit,
- 813
- Einheit zum Lernen eines zulässigen Bereichs (Lerneinheit),
- 820
- Speichereinheit,
- 821
- Korrekturverlaufsdaten,
- 822
- einen zulässigen Bereich betreffende Daten
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- JP 6148316 B2 [0004]
- JP 2018073258 A [0004]
- JP H08014955 A [0004]