KR102382134B1 - 공격 검지 장치, 공격 검지 방법, 및 공격 검지 프로그램 - Google Patents
공격 검지 장치, 공격 검지 방법, 및 공격 검지 프로그램 Download PDFInfo
- Publication number
- KR102382134B1 KR102382134B1 KR1020217013351A KR20217013351A KR102382134B1 KR 102382134 B1 KR102382134 B1 KR 102382134B1 KR 1020217013351 A KR1020217013351 A KR 1020217013351A KR 20217013351 A KR20217013351 A KR 20217013351A KR 102382134 B1 KR102382134 B1 KR 102382134B1
- Authority
- KR
- South Korea
- Prior art keywords
- adjustment
- equipment
- facility
- abnormality detection
- attack
- Prior art date
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 164
- 230000005856 abnormality Effects 0.000 claims abstract description 115
- 238000000034 method Methods 0.000 claims description 35
- 238000010586 diagram Methods 0.000 description 14
- 238000011835 investigation Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 238000012552 review Methods 0.000 description 4
- 230000006866 deterioration Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 238000007796 conventional method Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 239000000470 constituent Substances 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/41815—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the cooperation between machine tools, manipulators and conveyor or other workpiece supply system, workcell
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q9/00—Arrangements in telecontrol or telemetry systems for selectively calling a substation from a main station, in which substation desired apparatus is selected for applying a control signal thereto or for obtaining measured values therefrom
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Quality & Reliability (AREA)
- Signal Processing (AREA)
- Manufacturing & Machinery (AREA)
- Automation & Control Theory (AREA)
- Artificial Intelligence (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Mathematical Physics (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Selective Calling Equipment (AREA)
Abstract
공격 검지 장치는, 설비 ID를 포함하는 이상 검지 결과를 취득함으로써, 설비 ID에 대응하는 설비에 이상이 발생한 것을 검지하는 이상 검지부와, 설비 ID와 조정 시각을 관련지은 데이터를 조정 이력 데이터로서 기억하는 기억부와, 이상 검지부에 의한 검지 결과에 근거하여, 기억부에 기억된 조정 이력 데이터로부터 설비 ID에 대응하는 설비의 조정 빈도를 구하고, 조정 빈도가 당해 설비에 대해서 설정된 허용 횟수를 초과하고 있는 경우에, 당해 설비가 공격을 받았다고 판정하는 공격 판정부를 구비한다.
Description
본 발명은, 예를 들면, 공장, 플랜트 등의 설비가 사이버 공격을 받은 것을 검지하는 공격 검지 장치, 공격 검지 방법, 및 공격 검지 프로그램에 관한 것이다.
공장, 플랜트 등의 설비의 정상 상태 또는 고장 상태가 기지(旣知)인 경우에, 과거의 로그와 현재의 거동을 비교하고, 비교 결과에 근거하는 어긋남 정도를 이용하여, 설비의 이상(異常)을 검지하는 방법이 있다(예를 들면, 특허문헌 1, 2 참조).
또한, 사전에 설비의 정상 상태를 정의할 수 없는 경우에, 과거의 로그로부터 적응적으로 설비의 정상 상태를 추정하는 방법이 있다(예를 들면, 특허문헌 3 참조).
이들의 종래의 방법은, 공장, 플랜트 등의 설비의 이상을 검지하는 경우에는 유효하다.
그러나, 상기의 종래의 방법 중 어느 것에 있어서도, 검지한 이상이, 설비 자신의 고장 혹은 열화에 기인하고 있는지, 또는 외부로부터의 사이버 공격에 기인하고 있는지를 판정하는 것은 곤란했다.
본 발명은, 이러한 과제를 해결하기 위해서 이루어진 것으로, 검지한 설비 이상이 사이버 공격에 기인하고 있는지 여부를 판정하는 것이 가능한 공격 검지 장치, 공격 검지 방법, 및 공격 검지 프로그램을 얻는 것을 목적으로 한다.
본 발명에 따른 공격 검지 장치는, 설비를 식별하기 위한 설비 ID를 포함하는 이상 검지 결과를 취득함으로써, 상기 설비 ID에 대응하는 설비에 이상이 발생한 것을 검지하는 이상 검지부와, 상기 이상 검지부로부터 송신된 상기 이상 검지 결과에 포함되는 상기 설비 ID에 근거하여, 상기 설비 ID와 상기 설비에 발생한 이상에 대해서 조정을 행한 시각을 나타내는 조정 시각을 관련지은 조정 이력 데이터로부터, 상기 설비 ID에 대응하는 상기 설비의 조정 빈도를 구하고, 상기 조정 빈도가 상기 설비에 대해서 미리 설정된 허용 횟수를 초과하고 있는 경우에, 상기 설비가 공격을 받았다고 판정하는 공격 판정부를 구비한 것이다.
또, 본 발명에 따른 공격 검지 방법은, 설비를 식별하기 위한 설비 ID를 포함하는 이상 검지 결과를 취득함으로써, 상기 설비 ID에 대응하는 설비에 이상이 발생한 것을 검지하고, 상기 이상 검지 결과를 송신하는 이상 검지 스텝과, 상기 이상 검지 스텝에 있어서 송신된 상기 이상 검지 결과에 포함되는 상기 설비 ID에 근거하여, 상기 설비 ID와 상기 설비에 발생한 이상에 대해서 조정을 행한 시각을 나타내는 조정 시각을 관련지은 조정 이력 데이터로부터, 상기 설비 ID에 대응하는 상기 설비의 조정 빈도를 구하고, 상기 조정 빈도가 상기 설비에 대해서 미리 설정된 허용 횟수를 초과하고 있는 경우에, 상기 설비가 공격을 받았다고 판정하는 공격 판정 스텝을 구비한 것이다.
또, 본 발명에 따른 공격 검지 프로그램은, 컴퓨터로 하여금, 설비를 식별하기 위한 설비 ID를 포함하는 이상 검지 결과를 취득함으로써, 상기 설비 ID에 대응하는 설비에 이상이 발생한 것을 검지하고, 상기 이상 검지 결과를 송신하는 이상 검지 스텝과, 상기 이상 검지 스텝에 있어서 송신된 상기 이상 검지 결과에 포함되는 상기 설비 ID에 근거하여, 상기 설비 ID와 상기 설비에 발생한 이상에 대해서 조정을 행한 시각을 나타내는 조정 시각을 관련지은 조정 이력 데이터로부터, 상기 설비 ID에 대응하는 상기 설비의 조정 빈도를 구하고, 상기 조정 빈도가 상기 설비에 대해서 미리 설정된 허용 횟수를 초과하고 있는 경우에, 상기 설비가 공격을 받았다고 판정하는 공격 판정 스텝을 실행하게 하기 위한 것이다.
본 발명에 따른 공격 검지 장치, 공격 검지 방법, 및 공격 검지 프로그램에 의하면, 검지한 설비 이상이 사이버 공격에 기인하고 있는지 여부를 판정할 수 있다.
도 1은 본 발명의 실시형태 1에 따른 검지 서버의 구성도이다.
도 2는 본 발명의 실시형태 1에 있어서의 기억부에 저장되는 조정 이력 데이터의 데이터 구성을 나타낸 도면이다.
도 3은 본 발명의 실시형태 1에 따른 검지 서버와 이상 검지 장치의 접속 구성을 나타낸 도면이다.
도 4는 본 발명의 실시형태 1에 따른 검지 서버 및 이상 검지 장치의 각각에 대응하는 하드웨어 구성예를 나타낸 도면이다.
도 5는 본 발명의 실시형태 1에 따른 공격 검지 장치에 있어서 실행되는 일련의 공격 검지 처리를 나타내는 플로 차트이다.
도 6은 본 발명의 실시형태 1에 있어서의 기억부에 기억되는 정보의 일례를 나타낸 도면이다.
도 7은 본 발명의 실시형태 1에 있어서, 조정 이력 데이터를 그래프로서 나타낸 도면이다.
도 8은 본 발명의 실시형태 2에 따른 검지 서버의 구성도이다.
도 9는 본 발명의 실시형태 2에 있어서의 기억부에 저장되는 조정 이력 데이터 및 허용 범위 데이터의 각각의 데이터 구성을 나타낸 도면이다.
도 10은 본 발명의 실시형태 2에 따른 공격 검지 장치에 있어서 실행되는 일련의 공격 검지 처리를 나타내는 플로 차트이다.
도 11은 본 발명의 실시형태 2에 따른 공격 검지 장치에 있어서 실행되는, 윈도우 폭 및 허용 횟수에 관한 일련의 학습 처리를 나타내는 플로 차트이다.
도 2는 본 발명의 실시형태 1에 있어서의 기억부에 저장되는 조정 이력 데이터의 데이터 구성을 나타낸 도면이다.
도 3은 본 발명의 실시형태 1에 따른 검지 서버와 이상 검지 장치의 접속 구성을 나타낸 도면이다.
도 4는 본 발명의 실시형태 1에 따른 검지 서버 및 이상 검지 장치의 각각에 대응하는 하드웨어 구성예를 나타낸 도면이다.
도 5는 본 발명의 실시형태 1에 따른 공격 검지 장치에 있어서 실행되는 일련의 공격 검지 처리를 나타내는 플로 차트이다.
도 6은 본 발명의 실시형태 1에 있어서의 기억부에 기억되는 정보의 일례를 나타낸 도면이다.
도 7은 본 발명의 실시형태 1에 있어서, 조정 이력 데이터를 그래프로서 나타낸 도면이다.
도 8은 본 발명의 실시형태 2에 따른 검지 서버의 구성도이다.
도 9는 본 발명의 실시형태 2에 있어서의 기억부에 저장되는 조정 이력 데이터 및 허용 범위 데이터의 각각의 데이터 구성을 나타낸 도면이다.
도 10은 본 발명의 실시형태 2에 따른 공격 검지 장치에 있어서 실행되는 일련의 공격 검지 처리를 나타내는 플로 차트이다.
도 11은 본 발명의 실시형태 2에 따른 공격 검지 장치에 있어서 실행되는, 윈도우 폭 및 허용 횟수에 관한 일련의 학습 처리를 나타내는 플로 차트이다.
이하, 본 발명의 공격 검지 장치, 공격 검지 방법, 및 공격 검지 프로그램의 적합한 실시형태에 대해, 도면을 이용하여 설명한다. 한편, 이후의 실시형태에서는, 어느 일정 기간 내에 검지된 설비마다의 이상 이력으로부터 설비마다의 조정 빈도를 구하고, 조정 빈도가 허용 횟수를 초과하는지 여부를 판별함으로써, 사이버 공격을 검지 가능하게 하는 기술에 대해, 상세하게 설명한다. 한편, 이하의 설명에서는, 사이버 공격을 간단히 「공격」이라고 칭한다.
실시형태 1.
도 1은, 본 발명의 실시형태 1에 따른 검지 서버(101)의 구성도이다. 검지 서버(101)는, 공격 검지 장치의 예에 상당한다. 도 1에 나타내는 검지 서버(101)는, 이상 검지부(111), 공격 판정부(112), 및 기억부(120)를 구비하여 구성되어 있다. 또, 기억부(120)에는, 조정 이력 데이터(121)가 저장되어 있다.
도 2에, 본 발명의 실시형태 1에 있어서의 기억부(120)에 저장되는 조정 이력 데이터(121)의 데이터 구성의 일례를 나타낸다. 도 2에 나타내는 바와 같이, 조정 이력 데이터(121)는, 조정 시각(211), 설비 ID(212), 및 조정 내용(213)의 각 항목이 서로 관련지어져 구성되어 있다. 한편, 조정 이력 데이터(121)는, 도 2의 구성에 한정되지 않고, 조정 시각(211)과 설비 ID(212)의 2항목만을 관련짓는 구성으로 해도 된다.
도 3은, 본 발명의 실시형태 1에 있어서의 검지 서버(101)와 이상 검지 장치(301)의 접속 구성을 나타낸 도면이다. 도 3에 나타내는 바와 같이, 검지 서버(101)와 이상 검지 장치(301)는, 유선 접속 또는 무선 접속되어 통신을 행한다. 이상 검지 장치(301)는, 예를 들면, 공장에 설치되어 있고, 공장 내의 설비에서 발생한 이상을 검지하는 기능을 구비하고 있다. 이상 검지 장치(301)는, 설비의 이상을 검지하는 이상 검지부(302)를 구비하고 있다.
검지 서버(101)에 대해서, 복수의 이상 검지 장치(301)가 접속되는 구성이어도 상관없다. 또, 복수 계층으로 이루어지는 네트워크로서 구성된 복수의 이상 검지 장치(301)와 검지 서버(101)가 접속되어 있어도 된다. 또, 이상 검지 장치(301)는, 검지 서버(101)에 내포되어 있어도 된다.
검지 서버(101) 및 이상 검지 장치(301)는, CPU(Central Processing Unit)를 구비한 컴퓨터로 구성되어 있다. 검지 서버(101) 내의 구성 요소인 이상 검지부(111) 및 공격 판정부(112)의 각 부의 기능은, CPU가 프로그램을 실행하는 것에 의해 실현된다. 마찬가지로, 이상 검지 장치(301) 내의 구성 요소인 이상 검지부(302)의 기능도, CPU가 프로그램을 실행하는 것에 의해 실현된다.
또, 구성 요소의 처리를 실행하기 위한 프로그램은, 기억 매체에 기억시키고, 기억 매체로부터 CPU에 의해 판독되도록 구성할 수 있다.
도 4는, 본 발명의 실시형태 1에 따른 검지 서버(101) 및 이상 검지 장치(301)의 각각에 대응하는 하드웨어 구성예를 나타낸 도면이다. 연산 장치(401), 외부 기억 장치(402), 주기억 장치(403), 및 통신 장치(404)가, 버스(405)를 통하여 상호 접속되어 있다.
연산 장치(401)는, 프로그램을 실행하는 CPU이다. 외부 기억 장치(402)는, 예를 들면, ROM(Read Only Memory), 하드 디스크 등이다. 주기억 장치(403)는, 통상, RAM(Random Access Memory)이다. 통신 장치(404)는, 통상, 이더넷(ethernet)(등록상표)에 대응한 통신 카드이다.
프로그램은, 통상은, 외부 기억 장치(402)에 기억되어 있고, 주기억 장치(403)에 로드된 상태에서, 순차적으로, 연산 장치(401)에 의해 판독되고, 처리를 실행한다. 프로그램은, 도 1에 나타내는 「이상 검지부(111)」 및 「공격 판정부(112)」로서의 기능을 실현한다.
또, 도 1에 나타내는 기억부(120)는, 예를 들면, 외부 기억 장치(402)에 의해 실현된다. 또한, 외부 기억 장치(402)에는, 오퍼레이팅 시스템(이하, OS라고 칭함)도 기억되어 있고, OS의 적어도 일부가, 주기억 장치(403)에 로드된다. 연산 장치(401)는, OS를 실행하면서, 도 1에 나타내는 「이상 검지부(111)」 및 「공격 판정부(112)」의 기능을 실현하는 프로그램을 실행한다.
또, 실시형태 1의 설명에 있어서, 처리 결과를 나타내는, 정보, 데이터, 신호값, 및 변수값은, 주기억 장치(403)에 파일로서 기억되어 있다.
한편, 도 4의 구성은, 어디까지나 검지 서버(101) 및 이상 검지 장치(301)의 하드웨어 구성의 일례를 나타내는 것이다. 따라서, 검지 서버(101) 및 이상 검지 장치(301)의 하드웨어 구성은, 도 4의 기재에 한하지 않고, 다른 구성이어도 된다. 예를 들면, 표시 디스플레이 등의 출력 장치, 혹은 마우스, 키보드 등의 입력 장치가, 버스(405)에 접속되어 있는 구성이어도 된다.
또, 검지 서버(101)는, 각 실시형태 중의 플로 차트에 나타내는 순서에 의해, 본 발명의 각 실시형태에 따른 정보 처리 방법을 실현 가능하다.
다음에, 도 1∼도 3에 근거하여, 검지 서버(101)의 동작을 설명한다. 한편, 각 동작의 상세에 대해서는, 플로 차트를 이용하여 후술한다.
이상 검지부(111)는, 이상 검지 장치(301)로부터 송신된 이상 검지 결과를 취득한다. 이상 검지 결과의 취득 방법은, 이상 검지 시각, 및 설비 ID가 포함되는 내용을 취득할 수 있으면, 어떠한 방법이어도 상관없다.
공격 판정부(112)는, 기억부(120)에 기억되어 있는 조정 이력 데이터(121)를 이용하여, 설비마다 설정된 시간폭에서의 조정 빈도를 구한다. 또한, 공격 판정부(112)는, 조정 빈도가, 설비마다 설정된 허용 횟수를 초과하고 있는지 여부를 판별함으로써, 공격을 받은 것을 검지한다. 여기에서, 허용 횟수에 관해서는, 사전에 임계값을 설정해 두어도 되고, 과거의 조정 이력으로부터 적응적으로 설정해도 된다. 허용 횟수의 결정 방법에 대해서는, 한정되는 것은 아니다.
다음에, 본 실시형태 1에서 이용하는 조정 이력 데이터(121)의 데이터 구조에 대해, 도 2를 이용하여 설명한다. 도 2의 조정 이력 데이터(121)는, 조정 이력을 저장하는 형식의 일례를 나타내고 있다.
도 2에 있어서, 조정 시각(211)은, 설비 ID에 대응하는 설비에 관해서, 당해 설비에 발생한 이상에 대한 조정이 행해진 시각을 식별하기 위한 정보이다. 조정 시각(211)은, 일자 및 시각으로서 인식할 수 있으면, 어떠한 형식의 데이터여도 상관없다.
설비 ID(212)는, 이상이 발생하여 조정이 행해진 설비를 식별하기 위한 고유한 식별자이다.
조정 내용(213)은, 구체적으로 실시된 조정의 개요를 나타내는 데이터이다.
도 5는, 본 발명의 실시형태 1에 따른 공격 검지 장치에 있어서 실행되는 일련의 공격 검지 처리를 나타내는 플로 차트이다. 이하, 도 5에 나타내는 플로 차트에 근거하여, 검지 서버(101)에 있어서의 이상 검지부(111) 및 공격 판정부(112)에 의한 공격 검지 처리에 대해 설명한다. 여기에서, 설비의 이상에 관해서는, 사전에 이상 검지 장치(301)에 의해 검지되고 있는 것으로 한다.
스텝 S501에 있어서, 이상 검지부(111)는, 이상 검지 장치(301)에 의해 검지된 이상 검지 결과를 취득한다.
스텝 S502에 있어서, 공격 판정부(112)는, 스텝 S501에 있어서 이상이 검지된 설비의 설비 ID에 근거하여, 조정 이력 데이터(121)를 참조하고, 설정된 시간폭에서의 최근의 조정 빈도를 취득한다.
스텝 S503에 있어서, 공격 판정부(112)는, 스텝 S502에서 취득한 최근의 조정 빈도와, 조정 빈도의 허용 횟수를 비교한다. 그리고, 공격 판정부(112)는, 스텝 S502에서 취득한 최근의 조정 빈도가 허용 횟수를 초과하고 있는 경우에는 스텝 S504로 진행되고, 초과하고 있지 않는 경우에는 스텝 S505로 진행된다.
스텝 S504로 진행된 경우에는, 공격 판정부(112)는, 이상이 검출된 설비가 공격을 받았을 가능성이 있다고 판정하고, 설비의 상세한 조사를 의뢰하기 위한 알림을 행한다. 상세한 조사의 의뢰 방법으로서는, 화면 표시하는 것에 의한 사람에게로의 통지, 자동적인 메시지 송신 등, 설비의 상세한 조사를 개시시키는 것을 알림 가능한 방법이면, 어떠한 방법이어도 상관없다.
한편, 스텝 S505로 진행된 경우에는, 공격 판정부(112)는, 스텝 S501에서 검지된 설비의 이상에 대처하는 조정이 필요한 것을 의뢰하기 위한 알림을 행하고, 조정 시각을 포함하는 조정 결과를 조정 이력 데이터(121)로서 기록한다. 조정의 의뢰 방법으로서는, 조정을 의뢰하는 메시지를 화면 표시하는 것에 의한 사람에게로의 통지, 조정을 의뢰하는 메시지의 자동적인 송신 등, 설비의 조정을 개시시키는 것을 알림 가능한 방법이면, 어떠한 방법이어도 상관없다.
한편, 스텝 S504 및 스텝 S505의 어느 경우에 있어서도, 공격 판정부(112)는, 자신이 행한 상기 알림에 따라, 이상이 발생한 설비에 대한 조정이 행해진 경우에, 당해 조정이 행해진 시각을 조정 시각으로서 취득한다. 또, 공격 판정부(112)는, 취득한 조정 시각과 설비 ID를 관련지은 새로운 데이터를, 기억부(120)에 기억시킴으로써, 조정 이력 데이터(121)를 갱신한다.
도 6은, 본 발명의 실시형태 1에 있어서의 기억부(120)에 기억되는 조정 이력 데이터(121)의 일례를, 조정 이력 데이터(610)로서 나타낸 도면이다. 이하, 도 6을 이용하여, 공격 검지의 구체예에 대해 설명한다.
우선, 도 6에 나타내는 조정 이력 데이터(610)의 예에 대해 설명한다. 도 6에서는, 조정 이력 데이터(610)로서, 이미 10개의 조정 이력이 저장되어 있다. 조정 이력 데이터(610)의 각 행의 내용은, 시각(611), 설비 ID(612), 및 조정 내용(613)으로 구성되어 있다.
도 7은, 본 발명의 실시형태 1에 있어서, 조정 이력 데이터(610)를 그래프(710)로서 나타낸 도면이다. 그래프(710)를 이용하여, 조정 빈도에 대해 설명한다. 그래프(710)의 세로축(711)은, 제조 설비의 종별을 나타내고 있고, 설비 ID(612)와 대응한다. 그래프(710)의 가로축(712)은, 시간 경과를 나타내고 있고, 시각(611)과 대응한다. 조정 이력 데이터(610)의 각 행에 포함되는 시각(611) 및 설비 ID(612)는, 그래프(710)에 나타내는 점(721)과 대응한다.
공격 판정부(112)는, 도 6에 나타내는 조정 이력 데이터(610)에 근거하여, 도 7에 나타내는 그래프(710)에 있어서 조정 빈도가 빈출하고 있는 개소(722)를 특정한다. 조정 빈도가 빈출하고 있는 개소(722)에 있어서의 조정 빈도가 허용 횟수를 초과하고 있는 경우, 공격 판정부(112)는, 공격을 받았을 가능성이 있다고 판정한다. 여기에서, 허용 횟수는, 설비 ID(612)에 의하지 않고 공통의 값이어도 되고, 설비 ID(612)마다 상이한 값이어도 상관없다.
이와 같이, 본 실시형태 1에 따른 공격 검지 장치의 공격 판정부(112)는, 이상 검지부(111)가 취득한 이상 검지 결과를 기점으로 하여, 공격 검지 처리를 개시한다. 그리고, 공격 판정부(112)는, 기억부(120) 내에 저장된 조정 이력 데이터(121)를 이용하여, 조정 빈도가 빈출하고 있는 개소에 있어서, 설정된 시간폭에서의 조정 빈도를 구한다. 또한, 공격 판정부(112)는, 구한 조정 빈도와 허용 횟수를 비교하는 것에 의해, 공격을 받았을 가능성이 있는지 여부를 검지한다. 즉, 공격 판정부(112)는, 설비 이상이 검지된 빈도에 근거하여, 사이버 공격의 유무를 판정할 수 있다.
종래에는, 기지의 정상 상태와 상이한 이상의 검지에 머무르고 있었다. 그러나, 본 실시형태 1에 따른 공격 검지 장치가 실행하는 공격 검지 처리를 이용하는 것에 의해, 이상 검지의 원인이 공격인지 여부를 검지할 수 있다는 효과가 얻어진다.
실시형태 2.
본 실시형태 2에서는, 공격 검지 장치가, 윈도우 폭 및 허용 횟수를 학습하고, 학습 결과에 의해 갱신된 윈도우 폭 및 허용 횟수를 이용하는 것에 의해, 적응적으로 공격을 검지하는 것이 가능한 검지 서버를 실현하는 경우에 대해 설명한다.
도 8은, 본 발명의 실시형태 2에 따른 검지 서버(801)의 구성도이다. 검지 서버(801)는, 공격 검지 장치의 예에 상당한다. 도 8에 나타내는 검지 서버(801)는, 이상 검지부(811), 공격 판정부(812), 학습부로서의 허용 범위 학습부(813), 및 기억부(820)를 구비하여 구성되어 있다. 도 8의 검지 서버(801)는, 앞의 실시형태 1에 있어서의 검지 서버(101)에 대해서, 허용 범위 학습부(813)와, 기억부(820) 내의 허용 범위 데이터(822)가 더 추가된 구성으로 되어 있다. 그래서, 새롭게 추가된 이들의 구성을 중심으로, 이하에 설명한다.
도 9는, 본 발명의 실시형태 2에 따른 기억부(820)에 저장되는 조정 이력 데이터(821) 및 허용 범위 데이터(822)의 각각의 데이터 구성을 나타낸 도면이다. 조정 이력 데이터(821)는, 조정 시각(911), 설비 ID(912), 및 조정 내용(913)을 갖고 있고, 앞의 실시형태 1에 있어서의 조정 이력 데이터(121)와 동일한 구성이기 때문에, 설명을 생략한다. 도 9에 나타내는 바와 같이, 허용 범위 데이터(822)는, 설비 ID(921), 윈도우 폭(922), 허용 횟수(923), 적용 개시 시각(924), 및 적용 종료 시각(925)의 각 항목이 서로 관련지어져 구성되어 있다.
이하, 도 8에 근거하여, 검지 서버(801)에 의한 학습 기능의 동작에 대해 설명한다. 한편, 각 동작의 상세에 대해서는, 플로 차트를 이용하여 후술한다. 또, 이상 검지부(811) 및 공격 판정부(812)의 동작은, 앞의 실시형태 1에 나타내는 이상 검지부(111) 및 공격 판정부(112)의 동작과 마찬가지이기 때문에, 설명을 생략한다.
허용 범위 학습부(813)는, 공격 판정부(812)에 의한 공격 판정 결과에 대해서, 사람 또는 기계로 조사한 결과에 근거하여, 허용 범위 데이터(822)에 대한 피드백을 행한다. 허용 범위 데이터(822)에 대한 피드백의 타이밍은, 조사 후에 반영되는 것이어도 되고, 정기적으로 반영되는 것이어도 상관없다.
다음에, 본 실시형태 2에서 이용하는 데이터 구조에 대해, 도 9를 이용하여 설명한다. 도 9의 조정 이력 데이터(821)는, 실시형태 1에 나타내는 조정 이력 데이터(121)와 마찬가지이기 때문에, 설명을 생략한다.
도 9의 허용 범위 데이터(822)는, 허용 범위를 저장하는 형식의 일례를 나타내고 있다.
설비 ID(921)는, 조정이 행해진 설비를 식별하기 위한 고유한 식별자이다.
윈도우 폭(922)은, 공격 판정을 행할 때에 조정 이력의 빈도를 세기 위해서 이용되는 시간폭에 상당하는 윈도우 폭이다.
허용 횟수(923)는, 윈도우 폭(922)에 있어서의 조정 이력의 빈도의 상한 허용값에 상당한다.
적용 개시 시각(924)은, 설비 ID(921)에 대한 윈도우 폭(922) 및 허용 횟수(923)의 적용을 개시하는 시각이다. 적용 개시 시각(924)의 저장 형식은, 일시 및 시각으로서 인식할 수 있는 형식이면, 어떠한 형식의 데이터여도 상관없다.
적용 종료 시각(925)은, 설비 ID(921)에 대한 윈도우 폭(922) 및 허용 횟수(923)의 적용을 종료하는 시각이다. 적용 종료 시각(925)은, 기한이 명확하지 않은 경우에는, 설정이 생략됨으로써, 적용 개시 시각(924) 이후의 모든 시각이 학습을 행하기 위한 대상이 된다. 또, 적용 종료 시각(925)의 저장 형식은, 일시 및 시각으로서 인식할 수 있는 형식이고, 또한, 기한이 명확하지 않은 경우를 판별 가능한 형식이면, 어떠한 형식의 데이터여도 상관없다.
도 10은, 본 발명의 실시형태 2에 따른 공격 검지 장치에 있어서 실행되는 일련의 공격 검지 처리를 나타내는 플로 차트이다. 이하, 도 10에 나타내는 플로 차트에 근거하여, 검지 서버(801)에 있어서의 이상 검지부(811) 및 공격 판정부(812)에 의한 공격 검지 처리에 대해 설명한다. 여기에서, 설비의 이상에 관해서는, 사전에 이상 검지 장치(301)에 의해 검지되고 있는 것으로 한다.
도 10에 나타내는 플로 차트는, 앞의 실시형태 1에 있어서의 도 5에 나타낸 플로 차트에 대해서, 학습된 허용 횟수를 이용한 판정 처리를 추가한 것이다.
스텝 S1001에 있어서, 이상 검지부(811)는, 이상 검지 장치(301)에 의해 검지된 이상 검지 결과를 취득한다.
스텝 S1002에 있어서, 공격 판정부(812)는, 스텝 S1001에 있어서 이상이 검지된 설비의 설비 ID에 근거하여, 허용 범위 데이터(822)를 참조하고, 이상 검지의 시각이 적용 개시 시각 이후 및 적용 종료 시각 이내, 또는 적용 개시 시각 이후 및 적용 종료 시각 없이 해당하는 행에 있어서의 윈도우 폭 및 허용 횟수를 취득한다.
스텝 S1003에 있어서, 공격 판정부(812)는, 스텝 S1001에 있어서 이상이 검지된 설비의 설비 ID에 근거하여, 조정 이력 데이터(821)를 참조하고, 최근의 조정 빈도를 취득한다. 여기에서, 공격 판정부(812)는, 스텝 S1002에서 취득한 윈도우 폭을 이용하여, 당해 윈도우 폭이 나타내는 시간폭에 포함되는 당해 설비의 최근의 조정 빈도를 센다. 구체적으로는, 윈도우 폭이 3시간인 경우, 공격 판정부(812)는, 최근의 3시간 이내에 행해진 조정의 실시 횟수를, 조정 빈도로서 카운트한다.
스텝 S1004에 있어서, 공격 판정부(812)는, 스텝 S1002에서 취득한 허용 횟수와, 스텝 S1003에서 취득한 최근의 조정 빈도를 비교한다. 그리고, 공격 판정부(812)는, 최근의 조정 빈도가 허용 횟수를 초과하고 있는 경우에는, 스텝 S1005로 진행되고, 초과하고 있지 않는 경우는 스텝 S1006로 진행된다.
스텝 S1005로 진행된 경우에는, 공격 판정부(812)는, 이상이 검지된 설비가 공격을 받았을 가능성이 있다고 판정하고, 설비의 상세한 조사를 의뢰하기 위한 알림을 행한다. 상세한 조사의 의뢰 방법으로서는, 화면 표시하는 것에 의한 사람에게로의 통지, 자동적인 메시지 송신 등, 설비의 상세한 조사를 개시시키는 것을 알림 가능한 방법이면, 어떠한 방법이어도 상관없다.
한편, 스텝 S1006로 진행된 경우에는, 공격 판정부(812)는, 스텝 S1001에서 검지된 설비의 이상에 대처하는 조정이 필요한 것을 의뢰하기 위한 알림을 행하고, 조정 결과를 조정 이력 데이터(821)로서 기록한다. 조정의 의뢰 방법으로서는, 조정을 의뢰하는 메시지를 화면 표시하는 것에 의한 사람에게로의 통지, 조정을 의뢰하는 메시지의 자동적인 송신 등, 설비의 조정을 개시시키는 것을 알림 가능한 방법이면, 어떠한 방법이어도 상관없다.
도 11은, 본 발명의 실시형태 2에 있어서의 공격 검지 장치에 있어서 실행되는, 윈도우 폭 및 허용 횟수에 관한 일련의 학습 처리를 나타내는 플로 차트이다.
스텝 S1101에 있어서, 허용 범위 학습부(813)는, 학습 대상으로 하는 제조 설비의 설비 ID를 취득한다. 허용 범위 학습부(813)가 설비 ID를 취득하는 방법은, 사람 손으로 입력하는 경우여도, 기계적인 조사의 결과를 반영하는 경우여도 되고, 설비 ID를 인식 가능한 방법이면, 어떠한 방법이어도 상관없다.
스텝 S1102에 있어서, 허용 범위 학습부(813)는, 스텝 S1101에 있어서 취득한 설비 ID에 근거하여, 허용 범위 데이터(822)를 참조하고, 최신의 적용 개시 시각에 대응하는 행에 설정된 윈도우 폭 및 허용 횟수를 취득한다.
스텝 S1103에 있어서, 허용 범위 학습부(813)는, 공격 판정부(812)에 의한 판정 결과에 근거하여, 스텝 S1102에서 취득한 윈도우 폭 및 허용 횟수를 학습하고, 당해 윈도우 폭 및 허용 횟수의 재검토를 행한다. 구체적인 재검토 방법에 대해, 예를 들면, 새로운 설비가 도입된 경우에 당초에는 윈도우 폭 및 허용 횟수를 작게 해 두고, 실제의 조정 빈도에 따라 윈도우 폭 및 허용 횟수를 변경하는 것, 제조하는 제품의 종류가 크게 달라진 경우에 실제의 조정 빈도에 따라 윈도우 폭 및 허용 횟수를 변경하는 것, 설비의 열화 경향에 따라 허용 횟수를 증가시키는 것과 같은 재검토 방법이 생각된다. 허용 범위 학습부(813)에 의한 재검토 방법은, 과거의 이력에 근거하는 통계적인 방법, 기계 학습에 의한 방법 등, 윈도우 폭 및 허용 횟수를 정량화 가능한 방법이면, 어떠한 방법이어도 상관없다.
스텝 S1104에 있어서, 허용 범위 학습부(813)는, 스텝 S1102에 있어서 참조한 행의 적용 종료 시각을, 스텝 S1103에서 재검토한 윈도우 폭 및 허용 횟수의 적용을 개시하는 시각으로 갱신한다. 또한, 허용 범위 학습부(813)는, 그 시각을 적용 개시 시각으로 하고, S1103에서 재검토한 윈도우 폭 및 허용 횟수를 이용하여, 허용 범위 데이터(822)에 새로운 행을 추가한다.
여기에서, 새롭게 추가하는 행에 있어서의 적용 종료 시각은, 「없음」으로 하고, 설비 ID는, 스텝 S1101에 있어서 취득한 설비 ID로 한다. 이와 같은 일련 처리를 행함으로써, 학습 대상의 설비에 관해서, 윈도우 폭 및 허용 횟수의 재검토가 실행된 새로운 행을 추가할 수 있다.
이와 같이, 본 실시형태 2에서는, 검지 서버(801)가, 기억부(120) 내의 허용 범위 데이터(822)를, 설비의 실제의 행동에 따라, 허용 범위 학습부(813)에 학습시키는 것에 의해, 각각의 설비마다, 적절한 윈도우 폭 및 허용 횟수로 순차 갱신할 수 있다. 이 결과, 공격 판정의 정밀도를 보다 높일 수 있다.
이것에 의해, 실시형태 1에서 얻어지는 효과에 더하여, 제조하는 제품이 크게 변화한 경우, 열화에 의해 서서히 조정 빈도가 변화하는 경우 등에 있어서도, 고(高)정밀도로 공격 검지할 수 있다는 효과가 얻어진다.
한편, 상기의 실시형태 1에서는, 검지 서버(101)가 기억부(120)를 구비하고 있는 것으로 설명했다. 그러나, 그에 한하지 않고, 기억부(120)는, 검지 서버(101)의 구성 요소가 아니라, 외부 장치의 구성 요소로서, 검지 서버(101)의 외부에 마련되어 있어도 된다. 그 경우의 구성예로서는, 예를 들면, 검지 서버(101)의 외부에 설치된 서버 등의 외부 장치에, 기억부(120)를 마련해 둔다. 그리고, 검지 서버(101)가, 당해 외부 장치로부터, 당해 외부 장치의 기억부(120)에 축적된 조정 이력 데이터(121)를 취득하고, 설비의 공격의 유무를 판정하도록 해도 된다. 또, 실시형태 2의 검지 서버(801)의 기억부(820)에 대해서도 마찬가지이다. 즉, 기억부(820)는, 검지 서버(801)의 구성 요소가 아니라, 외부 장치의 구성 요소로서, 검지 서버(801)의 외부에 마련되어 있어도 된다. 그 경우의 검지 서버(801) 및 기억부(820)의 구성예로서는, 검지 서버(101) 및 기억부(120)와 마찬가지로 하면 되기 때문에, 여기에서는, 그 설명을 생략한다.
101: 검지 서버(공격 검지 장치), 111: 이상 검지부, 112: 공격 판정부, 120: 기억부, 121: 조정 이력 데이터, 301: 이상 검지 장치, 302: 이상 검지부, 401: 연산 장치, 402: 외부 기억 장치, 403: 주기억 장치, 404: 통신 장치, 405: 버스, 801: 검지 서버(공격 검지 장치), 811: 이상 검지부, 812: 공격 판정부, 813: 허용 범위 학습부(학습부), 820: 기억부, 821: 조정 이력 데이터, 822: 허용 범위 데이터.
Claims (8)
- 설비를 식별하기 위한 설비 ID를 포함하는 이상(異常) 검지 결과를 취득함으로써, 상기 설비 ID에 대응하는 설비에 이상이 발생한 것을 검지하는 이상 검지부와,
상기 이상 검지부로부터 송신된 상기 이상 검지 결과에 포함되는 상기 설비 ID에 근거하여, 상기 설비 ID와 상기 설비에 발생한 이상에 대해서 조정을 행한 시각을 나타내는 조정 시각을 관련지은 조정 이력 데이터로부터, 상기 설비 ID에 대응하는 상기 설비의 조정 빈도를 구하고, 상기 조정 빈도가 상기 설비에 대해서 미리 설정된 허용 횟수를 초과하고 있는 경우에, 상기 설비가 공격을 받았다고 판정하는 공격 판정부와,
상기 조정 이력 데이터를 기억하는 기억부를 구비하고,
상기 기억부에는, 상기 설비 ID마다의 상기 조정 빈도를 구하기 위한 시간폭과 상기 허용 횟수를 포함하는 허용 범위 데이터가 더 기억되어 있고,
상기 공격 판정부는, 상기 시간폭에 대한 조정 빈도를 구하고, 상기 조정 빈도가 상기 허용 횟수를 초과하고 있는 경우에, 상기 설비가 공격을 받았다고 판정하는
공격 검지 장치. - 삭제
- 삭제
- 제 1 항에 있어서,
상기 공격 판정부는,
상기 이상 검지부로부터 상기 이상 검지 결과를 취득함으로써, 상기 이상 검지 결과에 포함되어 있는 상기 설비 ID에 대응하는 상기 설비를 특정하고, 특정한 상기 설비에 관해서 조정이 필요한 것의 알림을 행하고,
상기 알림에 따라 상기 이상이 발생한 상기 설비에 대한 조정이 행해진 시각을 상기 조정 시각으로서 취득하고,
상기 설비 ID와 상기 조정 시각을 관련지은 새로운 데이터를 상기 기억부에 기억시킴으로써 상기 조정 이력 데이터를 갱신하는
공격 검지 장치. - 삭제
- 제 1 항에 있어서,
상기 설비 ID에 관련지어 상기 기억부에 기억되어 있는 상기 시간폭 및 상기 허용 횟수를, 상기 공격 판정부에 의한 판정 결과의 이력에 근거하여 학습하고, 학습 결과에 근거하여 상기 허용 범위 데이터를 갱신하는 학습부
를 더 구비한 공격 검지 장치. - 이상 검지부에 의해, 설비를 식별하기 위한 설비 ID를 포함하는 이상 검지 결과를 취득함으로써, 상기 설비 ID에 대응하는 설비에 이상이 발생한 것을 검지하고, 상기 이상 검지 결과를 송신하는 이상 검지 스텝과,
공격 판정부에 의해, 상기 이상 검지 스텝에 있어서 송신된 상기 이상 검지 결과에 포함되는 상기 설비 ID에 근거하여, 상기 설비 ID와 상기 설비에 발생한 이상에 대해서 조정을 행한 시각을 나타내는 조정 시각을 관련지은 조정 이력 데이터로부터, 상기 설비 ID에 대응하는 상기 설비의 조정 빈도를 구하고, 상기 조정 빈도가 상기 설비에 대해서 미리 설정된 허용 횟수를 초과하고 있는 경우에, 상기 설비가 공격을 받았다고 판정하는 공격 판정 스텝과,
기억부에 의해, 상기 조정 이력 데이터를 기억하는 기억 스텝과,
상기 기억부에 의해, 상기 설비 ID마다의 상기 조정 빈도를 구하기 위한 시간폭과 상기 허용 횟수를 포함하는 허용 범위 데이터를 더 기억하는 스텝과,
상기 공격 판정부에 의해, 상기 시간폭에 대한 조정 빈도를 구하고, 상기 조정 빈도가 상기 허용 횟수를 초과하고 있는 경우에, 상기 설비가 공격을 받았다고 판정하는 스텝
을 구비한 공격 검지 방법. - 컴퓨터로 하여금,
설비를 식별하기 위한 설비 ID를 포함하는 이상 검지 결과를 취득함으로써, 상기 설비 ID에 대응하는 설비에 이상이 발생한 것을 검지하고, 상기 이상 검지 결과를 송신하는 이상 검지 스텝과,
상기 이상 검지 스텝에 있어서 송신된 상기 이상 검지 결과에 포함되는 상기 설비 ID에 근거하여, 상기 설비 ID와 상기 설비에 발생한 이상에 대해서 조정을 행한 시각을 나타내는 조정 시각을 관련지은 조정 이력 데이터로부터, 상기 설비 ID에 대응하는 상기 설비의 조정 빈도를 구하고, 상기 조정 빈도가 상기 설비에 대해서 미리 설정된 허용 횟수를 초과하고 있는 경우에, 상기 설비가 공격을 받았다고 판정하는 공격 판정 스텝과,
상기 조정 이력 데이터를 기억하는 기억 스텝과,
상기 설비 ID마다의 상기 조정 빈도를 구하기 위한 시간폭과 상기 허용 횟수를 포함하는 허용 범위 데이터를 더 기억하는 스텝과,
상기 시간폭에 대한 조정 빈도를 구하고, 상기 조정 빈도가 상기 허용 횟수를 초과하고 있는 경우에, 상기 설비가 공격을 받았다고 판정하는 스텝
을 실행하게 하기 위한 기록 매체에 저장된 공격 검지 프로그램.
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2018/042550 WO2020100307A1 (ja) | 2018-11-16 | 2018-11-16 | 攻撃検知装置、攻撃検知方法、および攻撃検知プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20210057194A KR20210057194A (ko) | 2021-05-20 |
| KR102382134B1 true KR102382134B1 (ko) | 2022-04-01 |
Family
ID=70731441
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020217013351A KR102382134B1 (ko) | 2018-11-16 | 2018-11-16 | 공격 검지 장치, 공격 검지 방법, 및 공격 검지 프로그램 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20210232686A1 (ko) |
| JP (1) | JP6862615B2 (ko) |
| KR (1) | KR102382134B1 (ko) |
| CN (1) | CN112997177B (ko) |
| DE (1) | DE112018008071B4 (ko) |
| TW (1) | TWI712911B (ko) |
| WO (1) | WO2020100307A1 (ko) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20230290193A1 (en) | 2022-03-08 | 2023-09-14 | Denso Corporation | Detecting tampering of an electronic device |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018179329A1 (ja) * | 2017-03-31 | 2018-10-04 | 日本電気株式会社 | 抽出装置、抽出方法、コンピュータ可読媒体 |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS54148428A (en) | 1978-05-15 | 1979-11-20 | Nec Corp | Phase converter circuit |
| JPH0814955A (ja) | 1994-07-01 | 1996-01-19 | Nissan Motor Co Ltd | 設備異常診断装置およびその方法 |
| JP4940220B2 (ja) * | 2008-10-15 | 2012-05-30 | 株式会社東芝 | 異常動作検出装置及びプログラム |
| JP5264470B2 (ja) * | 2008-12-26 | 2013-08-14 | 三菱電機株式会社 | 攻撃判定装置及びプログラム |
| KR20100078081A (ko) * | 2008-12-30 | 2010-07-08 | (주) 세인트 시큐리티 | 커널 기반 시스템 행위 분석을 통한 알려지지 않은 악성코드 탐지 시스템 및 방법 |
| US8375450B1 (en) * | 2009-10-05 | 2013-02-12 | Trend Micro, Inc. | Zero day malware scanner |
| JP5689333B2 (ja) * | 2011-02-15 | 2015-03-25 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 異常検知システム、異常検知装置、異常検知方法、プログラムおよび記録媒体 |
| DE112012000772B4 (de) * | 2011-03-28 | 2014-11-20 | International Business Machines Corporation | Anomalieerkennungssystem |
| US8732523B2 (en) * | 2011-10-24 | 2014-05-20 | Arm Limited | Data processing apparatus and method for analysing transient faults occurring within storage elements of the data processing apparatus |
| CN102413127A (zh) * | 2011-11-09 | 2012-04-11 | 中国电力科学研究院 | 一种数据库综合安全防护方法 |
| US8904506B1 (en) | 2011-11-23 | 2014-12-02 | Amazon Technologies, Inc. | Dynamic account throttling |
| JP6192727B2 (ja) * | 2013-08-28 | 2017-09-06 | 株式会社日立製作所 | 保守サービス方法および保守サービスシステム |
| US9699205B2 (en) * | 2015-08-31 | 2017-07-04 | Splunk Inc. | Network security system |
| CN105303373B (zh) * | 2015-09-22 | 2019-03-26 | 深圳市新国都支付技术有限公司 | 一种频率防探测电路和方法 |
| JP6684690B2 (ja) * | 2016-01-08 | 2020-04-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム |
| JP6606050B2 (ja) | 2016-11-02 | 2019-11-13 | 日本電信電話株式会社 | 検知装置、検知方法および検知プログラム |
| CN108768942B (zh) * | 2018-04-20 | 2020-10-30 | 武汉绿色网络信息服务有限责任公司 | 一种基于自适应阈值的DDoS攻击检测方法和检测装置 |
-
2018
- 2018-11-16 KR KR1020217013351A patent/KR102382134B1/ko active IP Right Grant
- 2018-11-16 JP JP2020556576A patent/JP6862615B2/ja active Active
- 2018-11-16 CN CN201880099402.8A patent/CN112997177B/zh active Active
- 2018-11-16 WO PCT/JP2018/042550 patent/WO2020100307A1/ja active Application Filing
- 2018-11-16 DE DE112018008071.4T patent/DE112018008071B4/de active Active
-
2019
- 2019-05-15 TW TW108116706A patent/TWI712911B/zh active
-
2021
- 2021-04-12 US US17/227,752 patent/US20210232686A1/en active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018179329A1 (ja) * | 2017-03-31 | 2018-10-04 | 日本電気株式会社 | 抽出装置、抽出方法、コンピュータ可読媒体 |
Also Published As
| Publication number | Publication date |
|---|---|
| DE112018008071T5 (de) | 2021-07-01 |
| DE112018008071B4 (de) | 2023-08-31 |
| KR20210057194A (ko) | 2021-05-20 |
| JPWO2020100307A1 (ja) | 2021-02-25 |
| WO2020100307A1 (ja) | 2020-05-22 |
| JP6862615B2 (ja) | 2021-04-21 |
| CN112997177B (zh) | 2024-07-26 |
| US20210232686A1 (en) | 2021-07-29 |
| TW202020709A (zh) | 2020-06-01 |
| CN112997177A (zh) | 2021-06-18 |
| TWI712911B (zh) | 2020-12-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10410135B2 (en) | Systems and/or methods for dynamic anomaly detection in machine sensor data | |
| US9753801B2 (en) | Detection method and information processing device | |
| US10860406B2 (en) | Information processing device and monitoring method | |
| US10789118B2 (en) | Information processing device and error detection method | |
| KR101547721B1 (ko) | 검출 이벤트에 따른 액션 실행을 지원하는 시스템, 검출 이벤트에 다른 액션 실행을 지원하는 방법, 지원 장치 및 컴퓨터 프로그램 | |
| JP6623228B2 (ja) | 制御装置及び診断システム | |
| CN113407522B (zh) | 一种数据处理方法、装置、计算机设备和计算机可读存储介质 | |
| CN105095056A (zh) | 一种数据仓库数据监控的方法 | |
| US11640459B2 (en) | Abnormality detection device | |
| CN110083475B (zh) | 一种异常数据的检测方法及装置 | |
| CN105404581A (zh) | 一种数据库的评测方法和装置 | |
| US9860109B2 (en) | Automatic alert generation | |
| JP6223380B2 (ja) | 中継装置及びプログラム | |
| JP6201079B2 (ja) | 監視システムおよび監視方法 | |
| KR102382134B1 (ko) | 공격 검지 장치, 공격 검지 방법, 및 공격 검지 프로그램 | |
| JP2014115768A (ja) | ログ判定システム、ログ判定基準構築装置及びログ判定方法 | |
| US9690639B2 (en) | Failure detecting apparatus and failure detecting method using patterns indicating occurrences of failures | |
| JP7302908B1 (ja) | 運用管理システム、運用管理方法及び運用管理のためのコンピュータプログラム | |
| JP2018191217A (ja) | データ監視装置、データ監視方法及びデータ監視プログラム | |
| JP7425918B1 (ja) | 情報処理装置、情報処理方法及びプログラム | |
| CN112912903A (zh) | 推论装置、信息处理装置、推论方法、程序以及记录介质 | |
| JP2016143388A (ja) | ログ情報分類装置、ログ情報分類方法、及びプログラム | |
| JP5724670B2 (ja) | 監視装置、監視方法、および監視プログラム | |
| JP6508202B2 (ja) | 情報処理装置、情報処理方法、及び、プログラム | |
| JP7504307B1 (ja) | 情報処理装置、解析システム、解析方法及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| A302 | Request for accelerated examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |