[go: up one dir, main page]

WO2018179329A1 - 抽出装置、抽出方法、コンピュータ可読媒体 - Google Patents

抽出装置、抽出方法、コンピュータ可読媒体 Download PDF

Info

Publication number
WO2018179329A1
WO2018179329A1 PCT/JP2017/013588 JP2017013588W WO2018179329A1 WO 2018179329 A1 WO2018179329 A1 WO 2018179329A1 JP 2017013588 W JP2017013588 W JP 2017013588W WO 2018179329 A1 WO2018179329 A1 WO 2018179329A1
Authority
WO
WIPO (PCT)
Prior art keywords
alert
generated
abnormality
learning
additional traffic
Prior art date
Application number
PCT/JP2017/013588
Other languages
English (en)
French (fr)
Inventor
俊貴 渡辺
山野 悟
Original Assignee
日本電気株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 日本電気株式会社 filed Critical 日本電気株式会社
Priority to PCT/JP2017/013588 priority Critical patent/WO2018179329A1/ja
Priority to US16/493,930 priority patent/US11405411B2/en
Priority to JP2019508102A priority patent/JP6711452B2/ja
Publication of WO2018179329A1 publication Critical patent/WO2018179329A1/ja

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Definitions

  • FIG. 1 It is a figure which shows an example of a structure of the extraction apparatus which concerns on embodiment of this invention. It is a figure which shows an example of the corresponding information produced
  • FIG. 1 is a diagram showing an example of the configuration of the extraction apparatus 1 according to the present embodiment.
  • the extraction device 1 according to the present embodiment includes an alert classification unit 10, an alert learning unit 20, and an alert extraction unit 30.
  • the extraction apparatus 1 according to the present embodiment can obtain two types of alerts, that is, a system alert and an additional traffic alert.
  • the alert classification unit 10 estimates a system alert and an additional traffic alert generated due to the same factor based on information on an occurrence time of an abnormality included in the system alert and the additional traffic alert.
  • the alert classification unit 10 estimates a system alert and an additional traffic alert that are generated due to the same factor, based on information on an abnormality occurrence location included in the system alert and the additional traffic alert.
  • the alert learning unit 20 includes correspondence information generated by the alert classification unit 10, system alert occurrence pattern information indicating a characteristic occurrence pattern of a system alert when an abnormality occurs in the control system due to a factor other than a cyber attack, Is entered.
  • the system alert occurrence pattern information may be input from a system alert analysis unit (not shown) that analyzes the system alert, or may be input manually by the user.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • Data Mining & Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Medical Informatics (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Evolutionary Biology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

抽出装置(1)は、制御システムに異常が発生したときにその異常を通知するために発生した第1アラート及び第2アラートを入手可能である。抽出装置(1)は、第1アラートと第2アラートとを対応付けた対応情報を生成するアラート分類部(10)と、アラート分類部(10)により生成された対応情報と、サイバー攻撃以外の要因で異常が発生したときの第1アラートの発生パターンと、を基に、サイバー攻撃以外の要因で異常が発生したときの第2アラートの発生パターンを学習するアラート学習部(20)と、アラート学習部(20)により学習された第2アラートの発生パターンを基に、第2アラートのうち、サイバー攻撃が要因で発生した第2アラートを抽出し、抽出した第2アラートを出力するアラート抽出部(30)と、を備える。

Description

抽出装置、抽出方法、コンピュータ可読媒体
 本発明は、アラートを抽出する抽出装置、抽出方法、コンピュータ可読媒体に関し、特に、制御システムに異常が発生したときにその異常を通知するために発生したアラートのうち、サイバー攻撃が要因で発生したアラートを抽出する抽出装置、抽出方法、コンピュータ可読媒体に関する。
 近年、制御システムに対するサイバー攻撃が増加している。制御システムは、例えば、センサやアクチュエータ等のデバイスと、制御サーバやクライアント端末等の機器と、を含んで構成され、独自OS(Operating System)を採用する等の特性を備える。
 しかし、制御システムは、上述のように独自OSを採用し、また、スペックが貧弱である等の理由で、OSにインストールして使用するセキュリティ製品を、制御システム上の機器に適用することができない場合がある。
 そのため、制御システムに対するサイバー攻撃のセキュリティ対策としては、制御システムを流れるトラフィック(パケット)の情報を収集し、収集したトラフィックの情報を基に、制御システムに発生した異常を検知するネットワーク異常検知技術(例えば、非特許文献1,2,3を参照)を採用することが有効と考えられる。
 ネットワーク異常検知技術を利用したシステムとしては、例えば、IDS(Intrusion Detection System)と呼ばれる、不正な侵入を検知するシステムが挙げられる。IDS製品としては、例えば、SCADAShield(Cyberbit社製)、 Silent defense(Security Matters社製)、 OpShield(Wurldtech社製)等が挙げられる。
B. Zhu and S. Sastry, "SCADA-specific Intrusion Detection/Prevention Systems: A Survey and Taxonomy", Proc. of 1st Workshop on Secure Control Systems, Apr. 2010. B. Genge, D.A. Rusu and P. Haller, "A Connection Pattern-based Approach to Detect Network Traffic Anomalies in Critical Infrastructures", Proc. of 7th European Workshop on System security (EuroSec'14), 2014.
 ところで、制御システムでは、サイバー攻撃が要因で異常が発生する他に、制御システム上の機器やデバイスの故障、オペレーションミス、設定ミス等のサイバー攻撃以外の要因でも異常が発生する。
 ここで、ネットワーク異常検知技術を利用したシステムでは、制御システムの上記の全ての異常を検知することができ、また、制御システムの異常を検知した場合、その異常を通知するためにアラートを発生する。しかし、ネットワーク異常検知技術を利用したシステムによって発生するアラートは、異常の発生時刻、発生場所等の情報を含んでいるものの、アラートを受け取った側では、そのアラートに含まれる情報だけでは、そのアラートの要因が何であるのかを判断することは困難である。
 例えば、ネットワーク異常検知技術を利用したシステムでは、DoS(Denial of Service)攻撃対策のために、パケットの頻度(単位時間あたりのパケット数)の増加を検知するためのルールが定められている。そのため、例えば、制御システム上の機器の故障によりデバイスから頻繁にデータが送られてくると、上記のルールによって、制御システムの異常と判断されて、アラートが発生する可能性がある。この場合、アラートの要因は、サイバー攻撃ではなく、制御システム上の機器の故障である。しかし、アラートを受け取った側では、そのアラートに含まれる情報だけでは、そのアラートの要因が制御システム上の機器の故障であると判断することは困難である。
 また、ネットワーク異常検知技術を利用したシステムでは、パケットのデータの改ざん対策のために、警戒の必要がないパケットの一覧をホワイトリストに掲載するルールが定められている。そのため、例えば、制御システム上のセンサの故障により異常なセンサ値のデータを含むパケットが制御サーバに送られてくると、上記のルールによって、制御システムの異常と判断されて、アラートが発生する可能性がある。この場合、アラートの要因は、サイバー攻撃ではなく、制御システム上のセンサの故障である。しかし、アラートを受け取った側では、そのアラートに含まれる情報だけでは、そのアラートの要因が制御システム上のセンサの故障であると判断することは困難である。
 サイバー攻撃を受けた場合、迅速に復旧を行う必要がある。しかし、ネットワーク異常検知技術を利用したシステムが、サイバー攻撃が要因でアラートを発生したとしても、アラートを受け取った側では、そのアラートに含まれる情報だけでは、そのアラートの要因がサイバー攻撃であると判断することができない。そのため、即座に復旧作業を開始することができず、迅速な復旧が困難となる。
 そのため、サイバー攻撃を受けた場合に迅速な復旧を実現するためには、ネットワーク異常検知技術を利用したシステムによって発生したアラートのうち、サイバー攻撃が要因で発生したアラートを抽出することが重要である。そのようなアラートを抽出できれば、アラートを受け取った側では、アラートを受け取ったことのみをもって、そのアラートの要因がサイバー攻撃であると判断できる。そのため、即座に復旧作業を開始することができるため、迅速な復旧が可能となる。
 本発明の目的は、上述した課題を鑑み、サイバー攻撃が要因で発生したアラートを抽出することができる抽出装置、抽出方法、コンピュータ可読媒体を提供することにある。
 一態様において、抽出装置は、
 制御システムに異常が発生したときに該異常を通知するために発生した第1アラート及び第2アラートを入手可能な抽出装置であって、
 前記第1アラートと前記第2アラートとを対応付けた対応情報を生成する分類部と、
 前記分類部により生成された対応情報と、サイバー攻撃以外の要因で前記異常が発生したときの前記第1アラートの発生パターンと、を基に、サイバー攻撃以外の要因で前記異常が発生したときの前記第2アラートの発生パターンを学習する学習部と、
 前記学習部により学習された前記第2アラートの発生パターンを基に、前記第2アラートのうち、サイバー攻撃が要因で発生した前記第2アラートを抽出し、抽出した前記第2アラートを出力する抽出部と、を備える。
 一態様において、抽出方法は、
 制御システムに異常が発生したときに該異常を通知するために発生した第1アラート及び第2アラートを入手可能な抽出装置による抽出方法であって、
 前記第1アラートと前記第2アラートとを対応付けた対応情報を生成する分類ステップと、
 前記分類ステップにより生成された対応情報と、サイバー攻撃以外の要因で前記異常が発生したときの前記第1アラートの発生パターンと、を基に、サイバー攻撃以外の要因で前記異常が発生したときの前記第2アラートの発生パターンを学習する学習ステップと、
 前記学習ステップにより学習された前記第2アラートの発生パターンを基に、前記第2アラートのうち、サイバー攻撃が要因で発生した前記第2アラートを抽出し、抽出した前記第2アラートを出力する抽出ステップと、を含む。
 一態様において、コンピュータ可読媒体は、
 制御システムに異常が発生したときに該異常を通知するために発生した第1アラート及び第2アラートを入手可能なコンピュータに、
 前記第1アラートと前記第2アラートとを対応付けた対応情報を生成する分類手順と、
 前記分類手順により生成された対応情報と、サイバー攻撃以外の要因で前記異常が発生したときの前記第1アラートの発生パターンと、を基に、サイバー攻撃以外の要因で前記異常が発生したときの前記第2アラートの発生パターンを学習する学習手順と、
 前記学習手順により学習された前記第2アラートの発生パターンを基に、前記第2アラートのうち、サイバー攻撃が要因で発生した前記第2アラートを抽出し、抽出した前記第2アラートを出力する抽出手順と、
 を実行させるためのプログラムを格納した非一時的なコンピュータ可読媒体である。
 上述の態様によれば、サイバー攻撃が要因で発生した第2アラートを抽出することができるという効果が得られる。
本発明の実施の形態に係る抽出装置の構成の一例を示す図である。 図1に示したアラート分類部により生成された対応情報の一例を示す図である。 図1に示したアラート学習部に入力されるシステムアラート発生パターン情報の一例を示す図である。 図1に示したアラート学習部の学習動作の一例を示す図である。 図1に示した抽出装置における学習動作までの処理フローの一例を示すフロー図である。 図1に示した抽出装置における付加トラフィックアラートが発生したときの処理フローの一例を示すフロー図である。
 以下、図面を参照して本発明の実施の形態について説明する。
 本実施の形態では、制御システムに異常が発生したときに、その異常を通知するために発生したアラートとして、システムアラート(第1アラート。以下、図中では適宜「SA」と記す)及び付加トラフィックアラート(第2アラート。以下、図中では適宜「TA」と記す)という2種類のアラートが入手可能であることを前提としている。
 システムアラートは、既存の制御システムに手を加えることなく標準で入手できるアラートである。言い換えれば、システムアラートは、制御システム自身が、制御システムに発生した異常を検知したときに、その異常を通知するために発生したアラートである。
 一方、付加トラフィックアラートは、既存の制御システムに影響を与えることなく後からシステムを追加することで新たに入手できるアラートである。言い換えれば、付加トラフィックアラートは、制御システムに追加した、制御システム以外のシステムが、制御システムに発生した異常を検知したときに、その異常を通知するために発生したアラートである。例えば、付加トラフィックアラートは、制御システムに追加した、ネットワーク異常検知技術を利用したシステム(IDS等)が制御システムに発生した異常を通知するために発生したアラートである。より具体的には、IDS製品として上記で列挙した、SCADAShield(Cyberbit社製)、 Silent defense(Security Matters社製)、 OpShield(Wurldtech社製)等が制御システムに発生した異常を通知するために発生したアラートは、付加トラフィックアラートとなる。
 図1は、本実施の形態に係る抽出装置1の構成の一例を示す図である。図1に示されるように、本実施の形態に係る抽出装置1は、アラート分類部10と、アラート学習部20と、アラート抽出部30と、を備えている。本実施の形態に係る抽出装置1は、上述のように、システムアラート及び付加トラフィックアラートという2種類のアラートが入手可能である。
 アラート分類部10は、制御システムに発生した異常を通知するためにシステムアラート及び付加トラフィックアラートが発生すると、そのシステムアラート及び付加トラフィックアラートを入力する。システムアラートは、例えば、制御システムから入力される。付加トラフィックアラートは、例えば、ネットワーク異常検知技術を利用したシステム(IDS等)から入力される。
 アラート分類部10は、システムアラートと付加トラフィックアラートとを対応付けた対応情報を生成する。
 具体的には、アラート分類部10は、同じ要因で発生したシステムアラートと付加トラフィックアラートとを推測し、推測したシステムアラートと付加トラフィックアラートとを対応付けた対応情報を生成する。そして、アラート分類部10は、生成した対応情報をアラート学習部20に出力する。例えば、アラート分類部10は、以下の情報を基に、対応情報を生成する。
(a)異常の発生時間
 システムアラート及び付加トラフィックアラートには、制御システムに発生した異常の発生時間の情報が含まれている。
 そこで、アラート分類部10は、システムアラート及び付加トラフィックアラートに含まれる異常の発生時間の情報を基に、同じ要因で発生したシステムアラートと付加トラフィックアラートとを推測する。
 例えば、アラート分類部10は、一定期間中に発生したシステムアラートと付加トラフィックアラートとは、同じ要因で発生したアラートであると推測し、両者を対応付けた対応情報を生成する。
(b)異常の発生箇所
 システムアラート及び付加トラフィックアラートには、制御システムに発生した異常の発生箇所の情報が含まれている。例えば、異常が発生したパケットの送信元(src)IPアドレス及び宛先(dst)IP(Internet Protocol)アドレス、異常が発生した機器の機器ID(Identifier)等である。
 そこで、アラート分類部10は、システムアラート及び付加トラフィックアラートに含まれる異常の発生箇所の情報を基に、同じ要因で発生したシステムアラートと付加トラフィックアラートとを推測する。
 例えば、アラート分類部10は、同じ箇所で発生したシステムアラートと付加トラフィックアラートとは、同じ要因で発生したアラートであると推測し、両者を対応付けた対応情報を生成する。
(c)異常の種類
 システムアラート及び付加トラフィックアラートには、制御システムに発生した異常の種類の情報が含まれている。例えば、システムアラートに含まれる異常の種類としては、データ値が異常(グラフが異常)、プロセスの規則性が異常、メッセージが遅延、制御コマンドがホワイトリストに非該当、制御コマンドがブラックリストに該当等が挙げられる。また、付加トラフィックアラートに含まれる異常の種類としては、データ値の外れ値を検出、制御コマンドや通信の規則性の異常を検出、トラフィックがホワイトリストに非該当、トラフィックがブラックリストに該当等が挙げられる。
 そこで、アラート分類部10は、システムアラート及び付加トラフィックアラートに含まれる異常の種類の情報を基に、同じ要因で発生したシステムアラートと付加トラフィックアラートとを推測する。
 例えば、アラート分類部10は、データ値が許容値を超えるという異常の種類の情報を含むシステムアラートと、データ値の外れ値を検出するという異常の種類の情報を含む付加トラフィックアラートと、は、同じ要因(例えば、制御システム上のセンサの故障)で発生したと推測し、両者を対応付けた対応情報を生成する。
 また、アラート分類部10は、受信メッセージの遅延という異常の種類の情報を含むシステムアラートと、通信の規則性の異常という異常の種類の情報を含む付加トラフィックアラートと、は、同じ要因(例えば、制御システム上の機器の故障)で発生したと推測し、両者を対応付けた対応情報を生成する。
 なお、アラート分類部10は、上述の(a)異常の発生時間、(b)異常の発生箇所、(c)異常の種類の3つの情報のいずれか1つを用いて、対応情報を生成しても良いし、これら3つの情報のうちの任意の2つ以上の情報を用いて、対応情報を生成しても良い。
 図2は、アラート分類部10により生成された対応情報の一例を示す図である。図2の例では、システムアラートSA1と付加トラフィックアラートTA1とが、同じ要因で発生したと推測されたため、両者が対応付けられている。同様に、システムアラートSA2と付加トラフィックアラートTA2,TA3とが、同じ要因で発生したと推測されたため、両者が対応付けられている。また、システムアラートSA3と付加トラフィックアラートTA4とが、同じ要因で発生したと推測されたため、両者が対応付けられている。
 アラート学習部20は、アラート分類部10により生成された対応情報と、制御システムにサイバー攻撃以外の要因で異常が発生したときのシステムアラートの特徴的な発生パターンを示すシステムアラート発生パターン情報と、が入力される。システムアラート発生パターン情報は、システムアラートを分析するシステムアラート分析部(不図示)から入力しても良いし、ユーザが手入力で入力しても良い。
 図3は、アラート学習部20に入力されるシステムアラート発生パターン情報の一例を示す図である。図3は、制御システム上の機器の故障が発生したときのシステムアラートの特徴的な発生パターンを示している。図3の例では、機器Aが故障したときには、システムアラートSA1が発生している。また、機器Bが故障したときには、システムアラートSA2が発生し、これに続いてシステムアラートSA3が発生している。また、機器Cが故障したときには、システムアラートSA4,SA5が同時に発生している。
 アラート学習部20は、アラート分類部10により生成された対応情報と、システムアラート発生パターン情報と、を基に、制御システムにサイバー攻撃以外の要因で異常が発生したときの付加トラフィックアラートの発生パターンを学習する。
 具体的には、アラート学習部20は、システムアラート発生パターン情報が示すシステムアラートの特徴的な発生パターンにおけるシステムアラートを、対応情報を基に、そのシステムアラートに対応付けされた付加トラフィックアラートに置き換える。このようにして、アラート学習部20は、上記の学習を行う。そして、アラート学習部20は、上記の学習結果を示す付加トラフィックアラート発生パターン情報を生成し、生成した付加トラフィックアラート発生パターン情報をアラート抽出部30に出力する。
 図4は、アラート学習部20の学習動作の一例を示す図である。ここでは、アラート学習部20には、図2に示される対応情報と、図3に示されるシステムアラート発生パターン情報と、が入力されるものとする。
 図4の例では、システムアラート発生パターン情報は、制御システム上の機器Aが故障したときには、システムアラートSA1が発生していることを示している。また、対応情報は、システムアラートSA1と付加トラフィックアラートTA1とが対応付けられていることを示している。そこで、アラート学習部20は、システムアラート発生パターン情報におけるシステムアラートSA1を付加トラフィックアラートTA1に置き換え、制御システム上の機器Aが故障したときには、付加トラフィックアラートTA1が発生すると学習する。
 また、図4の例では、システムアラート発生パターン情報は、制御システム上の機器Bが故障したときには、システムアラートSA2が発生し、これに続いてシステムアラートSA3が発生していることを示している。また、対応情報は、システムアラートSA2と付加トラフィックアラートTA2,TA3とが対応付けられ、システムアラートSA3と付加トラフィックアラートTA4とが対応付けられていることを示している。そこで、アラート学習部20は、システムアラート発生パターン情報におけるシステムアラートSA2を付加トラフィックアラートTA2,TA3に置き換えると共に、システムアラートSA3を付加トラフィックアラートTA4に置き換え、制御システム上の機器Bが故障したときには、付加トラフィックアラートTA2,TA3が同時に発生し、これに続いて付加トラフィックアラートTA4が発生すると学習する。
 アラート抽出部30は、制御システムに発生した異常を通知するために付加トラフィックアラートが発生すると、その付加トラフィックアラートを入力する。付加トラフィックアラートは、例えば、ネットワーク異常検知技術を利用したシステム(IDS等)から入力される。また、アラート抽出部30は、アラート学習部20により生成された付加トラフィックアラート発生パターン情報を入力する。
 アラート抽出部30は、付加トラフィックアラート発生パターン情報に示される付加トラフィックアラートの発生パターンを基に、発生した付加トラフィックアラートから、サイバー攻撃が要因で発生した付加トラフィックアラートを抽出する。
 具体的には、アラート抽出部30は、発生した付加トラフィックアラートが、付加トラフィックアラート発生パターン情報に示される付加トラフィックアラートの発生パターンと一致するか否かを判断する。アラート抽出部30は、発生した付加トラフィックアラートのうち、付加トラフィックアラート発生パターン情報に示される付加トラフィックアラートの発生パターンと一致するものは、サイバー攻撃以外の要因で発生した付加トラフィックアラートであると判断し、一致しないものは、サイバー攻撃が要因で発生した付加トラフィックアラートであると判断する。
 例えば、付加トラフィックアラート発生パターン情報が、図4の下側の付加トラフィックアラートの発生パターンを示しているとする。この場合に、付加トラフィックアラートTA1が発生すると、アラート抽出部30は、発生した付加トラフィックアラートTA1は、サイバー攻撃以外の要因(この場合は、制御システム上の機器Aの故障)で発生した付加トラフィックアラートであると判断する。また、付加トラフィックアラートTA2,TA3が同時に発生し、これに続いて付加トラフィックアラートTA4が発生すると、アラート抽出部30は、発生した付加トラフィックアラートTA2,TA3,TA4は、サイバー攻撃以外の要因(この場合は、制御システム上の機器Bの故障)で発生した付加トラフィックアラートであると判断する。一方、その他の付加トラフィックアラートが発生すると、アラート抽出部30は、その他の付加トラフィックアラートは、サイバー攻撃が要因で発生した付加トラフィックアラートであると判断する。例えば、付加トラフィックアラートTA2,TA3が同時ではなく、それぞれ単独で発生した場合は、アラート抽出部30は、発生した付加トラフィックアラートTA2,TA3は、サイバー攻撃が要因で発生した付加トラフィックアラートであると判断する。また、付加トラフィックアラートTA4が発生しても、その前に付加トラフィックアラートTA2,TA3が同時に発生していない場合は、アラート抽出部30は、発生した付加トラフィックアラートTA4は、サイバー攻撃が要因で発生した付加トラフィックアラートであると判断する。
 そして、アラート抽出部30は、サイバー攻撃以外の要因で発生した付加トラフィックアラートは破棄する。一方、アラート抽出部30は、サイバー攻撃が要因で発生した付加トラフィックアラートは抽出し、抽出した付加トラフィックアラートを抽出装置1の外部に出力する。付加トラフィックアラートの出力先は、例えば、サイバー攻撃を受けたときに復旧のための対処を行うICS(Industrial Control System)やSOC(Security Operation Center)である。
 このように、アラート抽出部30は、サイバー攻撃が要因で発生した付加トラフィックアラートを抽出して出力する。そのため、付加トラフィックアラートを受け取った側(例えば、ICSやSOC)では、付加トラフィックアラートを受け取ったことのみをもって、その付加トラフィックアラートの要因がサイバー攻撃であると判断できる。そのため、即座に復旧作業を開始することができるため、迅速な復旧が可能となる。
 以下、本実施の形態に係る抽出装置1の処理フローについて説明する。
 図5は、本実施の形態に係る抽出装置1における学習動作までの処理フローの一例を示すフロー図である。
 図5に示されるように、まず、アラート分類部10は、システムアラートと付加トラフィックアラートとを対応付けた対応情報を生成する(ステップS11)。具体的には、アラート分類部10は、同じ要因で発生したシステムアラートと付加トラフィックアラートとを推測し、推測したシステムアラートと付加トラフィックアラートとを対応付けた対応情報を生成する。
 続いて、アラート学習部20は、アラート分類部10により生成された対応情報と、制御システムにサイバー攻撃以外の要因で異常が発生したときのシステムアラートの特徴的な発生パターンと、を基に、制御システムにサイバー攻撃以外の要因で異常が発生したときの付加トラフィックアラートの発生パターンを学習する(ステップS12)。具体的には、アラート学習部20は、システムアラートの特徴的な発生パターンにおけるシステムアラートを、対応情報を基に、そのシステムアラートに対応付けされた付加トラフィックアラートに置き換える。このようにして、アラート学習部20は、上記の学習を行う。
 なお、図5の処理フローは、システムアラート及び付加トラフィックアラートの少なくとも1つが発生したときに行っても良いし、周期的に行っても良い。
 図6は、本実施の形態に係る抽出装置1における付加トラフィックアラートが発生したときの処理フローの一例を示すフロー図である。
 図6に示されるように、アラート抽出部30は、付加トラフィックアラートが発生したか否かを判断する(ステップS21)。
 ステップS21において、付加トラフィックアラートが発生した場合(ステップS21のYes)、アラート抽出部30は、発生した付加トラフィックアラートが、サイバー攻撃が要因で発生した付加トラフィックアラートであるか否かを判断する(ステップS22)。具体的には、アラート抽出部30は、発生した付加トラフィックアラートが、アラート学習部20により学習された付加トラフィックアラートの発生パターンと一致するか否かを判断する。アラート抽出部30は、発生した付加トラフィックアラートのうち、付加トラフィックアラートの発生パターンと一致するものは、サイバー攻撃以外の要因で発生した付加トラフィックアラートであると判断し、一致しないものは、サイバー攻撃が要因で発生した付加トラフィックアラートであると判断する。
 ステップS22において、発生した付加トラフィックアラートが、サイバー攻撃が要因で発生した付加トラフィックアラートである場合(ステップS22のYes)、アラート抽出部30は、発生した付加トラフィックアラートを抽出して出力する(ステップS23)。その後、ステップS21に戻る。
 一方、ステップS22において、発生した付加トラフィックアラートが、サイバー攻撃が要因で発生した付加トラフィックアラートでない場合(ステップS22のNo)、アラート抽出部30は、発生した付加トラフィックアラートを破棄する(ステップS24)。その後、ステップS21に戻る。
 なお、アラート学習部20により学習された付加トラフィックアラートの発生パターンが、図4の下側の発生パターンであるものとする。この場合には、ステップS22においては、例えば、付加トラフィックアラートTA2,TA3が同時に発生しても、付加トラフィックアラートTA2,TA3についての判断を即座には行わず、その後に付加トラフィックアラートTA4が発生するまで待機する。そして、一定時間内に付加トラフィックアラートTA4が発生した場合は、付加トラフィックアラートTA2,TA3,TA4は、サイバー攻撃以外の要因で発生した付加トラフィックアラートであると判断する。一方、一定時間内に付加トラフィックアラートTA4が発生しない場合は、付加トラフィックアラートTA2,TA3は、サイバー攻撃が要因で発生した付加トラフィックアラートであると判断する。
 上述したように、本実施の形態に係る抽出装置1によれば、アラート分類部10は、システムアラートと付加トラフィックアラートとを対応付けた対応情報を生成する。アラート学習部20は、アラート分類部10により生成された対応情報と、制御システムにサイバー攻撃以外の要因で異常が発生したときのシステムアラートの発生パターンと、を基に、制御システムにサイバー攻撃以外の要因で異常が発生したときの付加トラフィックアラートの発生パターンを学習する。アラート抽出部30は、アラート学習部20により学習された付加トラフィックアラートの発生パターンを基に、発生した付加トラフィックアラートのうち、サイバー攻撃が要因で発生した付加トラフィックアラートを抽出して出力する。
 そのため、付加トラフィックアラートを受け取った側(例えば、ICSやSOC)では、付加トラフィックアラートを受け取ったことのみをもって、その付加トラフィックアラートの要因がサイバー攻撃であると判断できる。そのため、即座に復旧作業を開始することができるため、迅速な復旧が可能となる。
 以上、実施の形態を参照して本願発明における様々な観点を説明したが、本願発明は上記によって限定されるものではない。本願発明の各観点における構成や詳細には、発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
 例えば、上記の実施の形態における各構成は、ハードウェア又はソフトウェア、もしくはその両方によって構成され、1つのハードウェア又はソフトウェアから構成しても良いし、複数のハードウェア又はソフトウェアから構成しても良い。各装置の機能(処理)を、CPU(Central Processing Unit)やメモリ等を有するコンピュータにより実現しても良い。例えば、記憶装置に実施の形態における抽出方法を行うためのプログラムを格納し、各機能を、記憶装置に格納されたプログラムをCPUで実行することにより実現しても良い。
 また、上記のプログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えば、フレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば、光磁気ディスク)、CD-ROM(compact disc read only memory)、CD-R(compact disc recordable)、CD-R/W(compact disc rewritable)、半導体メモリ(例えば、マスクROM、PROM(programmable ROM)、EPROM(erasable PROM)、フラッシュROM、RAM(random access memory))を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitory computer readable medium)によってコンピュータに供給されても良い。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。
 1 抽出装置
 10 アラート分類部
 20 アラート学習部
 30 アラート抽出部

Claims (11)

  1.  制御システムに異常が発生したときに該異常を通知するために発生した第1アラート及び第2アラートを入手可能な抽出装置であって、
     前記第1アラートと前記第2アラートとを対応付けた対応情報を生成する分類部と、
     前記分類部により生成された対応情報と、サイバー攻撃以外の要因で前記異常が発生したときの前記第1アラートの発生パターンと、を基に、サイバー攻撃以外の要因で前記異常が発生したときの前記第2アラートの発生パターンを学習する学習部と、
     前記学習部により学習された前記第2アラートの発生パターンを基に、前記第2アラートのうち、サイバー攻撃が要因で発生した前記第2アラートを抽出し、抽出した前記第2アラートを出力する抽出部と、を備える、
     抽出装置。
  2.  前記分類部は、
     同じ要因で発生した前記第1アラートと前記第2アラートとを推測し、
     推測した前記第1アラートと前記第2アラートとを対応付けた前記対応情報を生成する、
     請求項1に記載の抽出装置。
  3.  前記分類部は、
     前記第1アラート及び前記第2アラートに含まれる前記異常の発生時間の情報を基に、同じ要因で発生した前記第1アラートと前記第2アラートとを推測する、
     請求項2に記載の抽出装置。
  4.  前記分類部は、
     前記第1アラート及び前記第2アラートに含まれる前記異常の発生箇所の情報を基に、同じ要因で発生した前記第1アラートと前記第2アラートとを推測する、
     請求項2又は3に記載の抽出装置。
  5.  前記分類部は、
     前記第1アラート及び前記第2アラートに含まれる前記異常の種類の情報を基に、同じ要因で発生した前記第1アラートと前記第2アラートとを推測する、
     請求項2から4のいずれか1項に記載の抽出装置。
  6.  前記学習部は、
     サイバー攻撃以外の要因で前記異常が発生したときの前記第1アラートの発生パターンにおける前記第1アラートを、前記対応情報を基に、前記第1アラートに対応付けされた前記第2アラートに置き換えることで、前記学習を行う、
     請求項1から5のいずれか1項に記載の抽出装置。
  7.  前記抽出部は、
     前記第2アラートのうち、前記学習部により学習された前記第2アラートの発生パターンと一致する前記第2アラートを、サイバー攻撃以外の要因で発生した前記第2アラートと判断し、
     前記第2アラートのうち、前記学習部により学習された前記第2アラートの発生パターンと一致しない前記第2アラートを、サイバー攻撃が要因で発生した前記第2アラートと判断する、
     請求項1から6のいずれか1項に記載の抽出装置。
  8.  前記抽出部は、
     サイバー攻撃以外の要因で発生した前記第2アラートを破棄する、
     請求項1から7のいずれか1項に記載の抽出装置。
  9.  前記第1アラートは
     前記制御システムに異常が発生したときに、前記制御システム自身が該異常を通知するために発生したアラートであり、
     前記第2アラートは、
     前記制御システムに異常が発生したときに、前記制御システム以外のシステムが該異常を通知するために発生したアラートである、
     請求項1から8のいずれか1項に記載の抽出装置。
  10.  制御システムに異常が発生したときに該異常を通知するために発生した第1アラート及び第2アラートを入手可能な抽出装置による抽出方法であって、
     前記第1アラートと前記第2アラートとを対応付けた対応情報を生成する分類ステップと、
     前記分類ステップにより生成された対応情報と、サイバー攻撃以外の要因で前記異常が発生したときの前記第1アラートの発生パターンと、を基に、サイバー攻撃以外の要因で前記異常が発生したときの前記第2アラートの発生パターンを学習する学習ステップと、
     前記学習ステップにより学習された前記第2アラートの発生パターンを基に、前記第2アラートのうち、サイバー攻撃が要因で発生した前記第2アラートを抽出し、抽出した前記第2アラートを出力する抽出ステップと、を含む、
     抽出方法。
  11.  制御システムに異常が発生したときに該異常を通知するために発生した第1アラート及び第2アラートを入手可能なコンピュータに、
     前記第1アラートと前記第2アラートとを対応付けた対応情報を生成する分類手順と、
     前記分類手順により生成された対応情報と、サイバー攻撃以外の要因で前記異常が発生したときの前記第1アラートの発生パターンと、を基に、サイバー攻撃以外の要因で前記異常が発生したときの前記第2アラートの発生パターンを学習する学習手順と、
     前記学習手順により学習された前記第2アラートの発生パターンを基に、前記第2アラートのうち、サイバー攻撃が要因で発生した前記第2アラートを抽出し、抽出した前記第2アラートを出力する抽出手順と、
     を実行させるためのプログラムを格納した非一時的なコンピュータ可読媒体。
PCT/JP2017/013588 2017-03-31 2017-03-31 抽出装置、抽出方法、コンピュータ可読媒体 WO2018179329A1 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
PCT/JP2017/013588 WO2018179329A1 (ja) 2017-03-31 2017-03-31 抽出装置、抽出方法、コンピュータ可読媒体
US16/493,930 US11405411B2 (en) 2017-03-31 2017-03-31 Extraction apparatus, extraction method, computer readable medium
JP2019508102A JP6711452B2 (ja) 2017-03-31 2017-03-31 抽出装置、抽出方法、及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2017/013588 WO2018179329A1 (ja) 2017-03-31 2017-03-31 抽出装置、抽出方法、コンピュータ可読媒体

Publications (1)

Publication Number Publication Date
WO2018179329A1 true WO2018179329A1 (ja) 2018-10-04

Family

ID=63674423

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2017/013588 WO2018179329A1 (ja) 2017-03-31 2017-03-31 抽出装置、抽出方法、コンピュータ可読媒体

Country Status (3)

Country Link
US (1) US11405411B2 (ja)
JP (1) JP6711452B2 (ja)
WO (1) WO2018179329A1 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020061717A (ja) * 2018-10-12 2020-04-16 株式会社東芝 異常要因判定装置、制御システム、および異常要因判定方法
KR20210057194A (ko) * 2018-11-16 2021-05-20 미쓰비시덴키 가부시키가이샤 공격 검지 장치, 공격 검지 방법, 및 공격 검지 프로그램
JPWO2020137743A1 (ja) * 2018-12-28 2021-09-30 パナソニックIpマネジメント株式会社 電子制御装置、電子制御システムおよびプログラム

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11153346B2 (en) * 2017-10-31 2021-10-19 Level 3 Communications, Llc Secure network device management in a telecommunications network

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030093514A1 (en) * 2001-09-13 2003-05-15 Alfonso De Jesus Valdes Prioritizing bayes network alerts
JP2013232716A (ja) * 2012-04-27 2013-11-14 Nippon Telegr & Teleph Corp <Ntt> 攻撃判定装置、攻撃判定方法及び攻撃判定プログラム
WO2016092834A1 (ja) * 2014-12-10 2016-06-16 日本電気株式会社 通信監視システム、重要度算出装置及びその算出方法、提示装置、並びにコンピュータ・プログラムが格納された記録媒体

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6321338B1 (en) * 1998-11-09 2001-11-20 Sri International Network surveillance
US8010469B2 (en) * 2000-09-25 2011-08-30 Crossbeam Systems, Inc. Systems and methods for processing data flows
US20070266435A1 (en) * 2005-12-28 2007-11-15 Williams Paul D System and method for intrusion detection in a computer system
US8024804B2 (en) * 2006-03-08 2011-09-20 Imperva, Inc. Correlation engine for detecting network attacks and detection method
US8307433B2 (en) * 2009-11-20 2012-11-06 College Of William And Mary Client side username/password credential protection
US9215244B2 (en) * 2010-11-18 2015-12-15 The Boeing Company Context aware network security monitoring for threat detection
US9838415B2 (en) * 2011-09-14 2017-12-05 Architecture Technology Corporation Fight-through nodes for survivable computer network
US20140157405A1 (en) * 2012-12-04 2014-06-05 Bill Joll Cyber Behavior Analysis and Detection Method, System and Architecture
US10798114B2 (en) * 2015-06-29 2020-10-06 Argus Cyber Security Ltd. System and method for consistency based anomaly detection in an in-vehicle communication network
US10148679B2 (en) * 2015-12-09 2018-12-04 Accenture Global Solutions Limited Connected security system
US11240263B2 (en) * 2017-01-31 2022-02-01 Micro Focus Llc Responding to alerts

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030093514A1 (en) * 2001-09-13 2003-05-15 Alfonso De Jesus Valdes Prioritizing bayes network alerts
JP2013232716A (ja) * 2012-04-27 2013-11-14 Nippon Telegr & Teleph Corp <Ntt> 攻撃判定装置、攻撃判定方法及び攻撃判定プログラム
WO2016092834A1 (ja) * 2014-12-10 2016-06-16 日本電気株式会社 通信監視システム、重要度算出装置及びその算出方法、提示装置、並びにコンピュータ・プログラムが格納された記録媒体

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020061717A (ja) * 2018-10-12 2020-04-16 株式会社東芝 異常要因判定装置、制御システム、および異常要因判定方法
JP7102315B2 (ja) 2018-10-12 2022-07-19 株式会社東芝 異常要因判定装置、制御システム、および異常要因判定方法
KR20210057194A (ko) * 2018-11-16 2021-05-20 미쓰비시덴키 가부시키가이샤 공격 검지 장치, 공격 검지 방법, 및 공격 검지 프로그램
KR102382134B1 (ko) * 2018-11-16 2022-04-01 미쓰비시덴키 가부시키가이샤 공격 검지 장치, 공격 검지 방법, 및 공격 검지 프로그램
JPWO2020137743A1 (ja) * 2018-12-28 2021-09-30 パナソニックIpマネジメント株式会社 電子制御装置、電子制御システムおよびプログラム
JP7113238B2 (ja) 2018-12-28 2022-08-05 パナソニックIpマネジメント株式会社 電子制御装置、電子制御システムおよびプログラム
US11621967B2 (en) 2018-12-28 2023-04-04 Panasonic Intellectual Property Management Co., Ltd. Electronic control unit, electronic control system, and recording medium

Also Published As

Publication number Publication date
JPWO2018179329A1 (ja) 2019-12-12
JP6711452B2 (ja) 2020-06-17
US20210126925A1 (en) 2021-04-29
US11405411B2 (en) 2022-08-02

Similar Documents

Publication Publication Date Title
US10949534B2 (en) Method for predicting and characterizing cyber attacks
CN105191257B (zh) 用于检测多阶段事件的方法和装置
US9654485B1 (en) Analytics-based security monitoring system and method
JP6442051B2 (ja) コンピュータネットワークへの攻撃を検出する方法
KR102040990B1 (ko) 응답이 없는 아웃고잉 네트워크 트래픽의 분석을 통한 감염된 네트워크 장치의 검출
JP6711452B2 (ja) 抽出装置、抽出方法、及びプログラム
US8161554B2 (en) System and method for detection and mitigation of network worms
WO2018218537A1 (zh) 工业控制系统及其网络安全的监视方法
WO2021139643A1 (zh) 加密攻击网络流量检测方法,其装置及电子设备
JP2007094997A (ja) Idsのイベント解析及び警告システム
CN103888282A (zh) 基于核电站的网络入侵报警方法和系统
US20230009270A1 (en) OPC UA-Based Anomaly Detection and Recovery System and Method
JP6052297B2 (ja) ネットワークのフィルタリング装置、及びフィルタリング方法
JP2018007179A (ja) 監視装置、監視方法および監視プログラム
CN102457415B (zh) Ips检测处理方法、网络安全设备和系统
JP6233414B2 (ja) 情報処理装置、フィルタリングシステム、フィルタリング方法、及びフィルタリングプログラム
JP2019036865A (ja) 通信解析装置、通信解析プログラム、及び通信解析方法
US10348746B2 (en) Incident detection system including gateway device and server
KR101753846B1 (ko) 사용자 맞춤형 로그 타입을 생성하기 위한 방법, 시스템 및 컴퓨터 판독 가능한 기록 매체
CN109729084B (zh) 一种基于区块链技术的网络安全事件检测方法
CN113904920B (zh) 基于失陷设备的网络安全防御方法、装置及系统
EP2911362A2 (en) Method and system for detecting intrusion in networks and systems based on business-process specification
CN111147497B (zh) 一种基于知识不对等的入侵检测方法、装置以及设备
JP2005101854A (ja) パケット追跡装置、パケット追跡システム、パケット追跡方法およびパケット追跡プログラム
US20190149560A1 (en) Malicious relay and jump-system detection using behavioral indicators of actors

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 17903163

Country of ref document: EP

Kind code of ref document: A1

ENP Entry into the national phase

Ref document number: 2019508102

Country of ref document: JP

Kind code of ref document: A

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 17903163

Country of ref document: EP

Kind code of ref document: A1