JP6873032B2 - 通信監視システム、通信監視装置および通信監視方法 - Google Patents

通信監視システム、通信監視装置および通信監視方法 Download PDF

Info

Publication number
JP6873032B2
JP6873032B2 JP2017252939A JP2017252939A JP6873032B2 JP 6873032 B2 JP6873032 B2 JP 6873032B2 JP 2017252939 A JP2017252939 A JP 2017252939A JP 2017252939 A JP2017252939 A JP 2017252939A JP 6873032 B2 JP6873032 B2 JP 6873032B2
Authority
JP
Japan
Prior art keywords
communication
business
sequence
packet
regular
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017252939A
Other languages
English (en)
Other versions
JP2019121811A (ja
Inventor
田中 真愉子
真愉子 田中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2017252939A priority Critical patent/JP6873032B2/ja
Priority to PCT/JP2018/042430 priority patent/WO2019130894A1/ja
Priority to US16/954,946 priority patent/US11595419B2/en
Publication of JP2019121811A publication Critical patent/JP2019121811A/ja
Application granted granted Critical
Publication of JP6873032B2 publication Critical patent/JP6873032B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0631Resource planning, allocation, distributing or scheduling for enterprises or organisations
    • G06Q10/06316Sequencing of tasks or work
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/018Certifying business or products
    • G06Q30/0185Product, service or business identity fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Computer Security & Cryptography (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Economics (AREA)
  • Strategic Management (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Marketing (AREA)
  • Computer Hardware Design (AREA)
  • Development Economics (AREA)
  • General Business, Economics & Management (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Game Theory and Decision Science (AREA)
  • Accounting & Taxation (AREA)
  • Tourism & Hospitality (AREA)
  • Quality & Reliability (AREA)
  • Operations Research (AREA)
  • Educational Administration (AREA)
  • Finance (AREA)
  • Software Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、正規通信を使った悪用を検知することが可能な通信監視システム、通信監視装置および通信監視方法に関する。
インダストリアルネットワークにおけるサイバー攻撃の潜在的な感染を検知するための方法として、特許文献1には、以下のような技術が開示されている。システムは、ネットワークステートのリストおよび遷移確率を含むサイトアクセプタブルなネットワーク挙動のベースラインを設定するためのハードウェアとソフトウェアの要素を含む。遷移確率は、正常なネットワーク稼働中に、第一のネットワークステートが第二のネットワークステートに一時的に追従される推定確率を示すものである。さらに、確率を表す閾値を設定する。その閾値を下回ると、ネットワークステートのシーケンスが変則的であることおよびサイトアクセプタブルなネットワーク挙動のベースラインに基づいて、特定の一連のパケットから得たネットワークステートのシーケンスが発生する確率を特定し、特定された確率が設定された閾値を下回るか否かにより防御措置を実行する。
特開2017−41886号公報
しかしながら、特許文献1では、業務で使用される通信プロトコルにおいて、当該業務を実行する正規の機器から業務実行時と同様にデータ送信された場合の悪用(以下、正規通信を使った悪用と呼ぶ)を検知することができなかった。
本発明は、上記事情に鑑みなされたものであり、その目的は、業務シーケンスの実行に用いられる正規通信を使った悪用を検知することが可能な通信監視システム、通信監視装置および通信監視方法を提供することにある。
上記目的を達成するため、第1の観点に係る通信監視システムは、業務シーケンスに従って送信元機器と送信先機器との間で通信を行い、前記業務シーケンスで規定された業務を構成する複数の処理を実行する業務システムと、前記業務システムの通信で用いられる通信パケットを監視する通信監視装置とを備える。前記通信監視装置は、前記通信パケットに含まれる送信元情報と送信先情報に基づいて、前記複数の処理が前記業務シーケンスに従って実行されているかを判定する。
本発明によれば、業務シーケンスの実行に用いられる正規通信を使った悪用を検知することができる。
図1は、実施形態に係る通信監視システムの機能的な構成を示すブロック図である。 図2は、図1の通信プロトコル悪用検知装置のハードウェア構成を示すブロック図である。 図3は、図1の通信監視システムの通信で用いられる通信パケットの構成を示す図である。 図4は、図1の正規通信テーブルの一例を示す図である。 図5は、図1の正規サービステーブルの一例を示す図である。 図6は、図1の業務シーケンステーブルの一例を示す図である。 図7は、図1の成立待ちシーケンステーブルの一例を示す図である。 図8は、図1の待ちパケットテーブルの一例を示す図である。 図9は、不正通信情報テーブルの一例を示す図である。 図10(a)は、図1の通信監視システムで実行される業務シーケンスに従った正規通信方法の一例を示す図、図10(b)は、図10(a)の業務シーケンスの実行に用いられる正規通信を使った悪用の一例を示す図、図10(c)は、図10(a)の業務シーケンスの実行に用いられる正規通信を使った悪用のその他の例を示す図である。 図11は、正規通信を使った悪用の判定処理を示すフローチャートである。 図12は、シーケンス成立判定処理を示すフローチャートである。 図13は、シーケンスタイムアウト判定処理を示すフローチャートである。
本発明は、NEDOが推進する総合科学技術・イノベーション会議の戦略的イノベーション創造プログラム(SIP)「重要インフラ等におけるサイバーセキュリティの確保」に関する。
実施形態について、図面を参照して説明する。なお、以下に説明する実施形態は特許請求の範囲に係る発明を限定するものではなく、また実施形態の中で説明されている諸要素およびその組み合わせの全てが発明の解決手段に必須であるとは限らない。
図1は、実施形態に係る通信監視システムの機能的な構成を示すブロック図である。通信監視システムは、業務シーケンスで規定された業務を実行する業務システムに適用することができる。業務シーケンスで規定された業務は、複数の処理を実行することができる。業務システムは、この業務を構成する複数の処理を実行することで、業務を構成するサービスを実現することができる。ここで言うサービスとは、ネットワークを介して利用されるサービスである。例えば、IPネットワークで汎用的なサービスである機器を遠隔操作するプロトコル(telnet)や、ファイル転送プロトコル(FTP)、あるいは、業務システムに固有の運用管理サービスや制御サービスを想定することができる。
業務シーケンスでは、どの機器とどの機器が通信した後に、どの機器とどの機器が通信するかが設定される。業務システムは、これらの機器間での通信に基づいて、業務シーケンスで規定された業務を構成する複数の処理を実行する。この業務システムは、例えば、社会インフラや製造プラントを支える産業制御システム(ICS:Industrial Control Systems)である。
図1において、通信監視システムには、監視対象システム10および通信プロトコル悪用検知装置20が設けられている。監視対象システム10は業務システムである。通信プロトコル悪用検知装置20は、監視対象システム10の通信で用いられる通信パケットを監視する。そして、その通信パケットに含まれる送信元情報と送信先情報に基づいて、業務シーケンスで規定された業務を構成する複数の処理が業務シーケンスに従って実行されているかを判定する。
監視対象システム10には、各種役割を備えた機器10A〜10N、12A〜12N、13A〜13Nが設けられている。機器10A〜10N、12A〜12Nは、ネットワーク110を介して接続されている。機器12A〜12N、13A〜13Nは、ネットワーク120を介して接続されている。情報・制御ネットワーク110にはミラーポート111が接続され、コントロールネットワーク120にはミラーポート121が接続されている。
例えば、監視対象システム10が産業制御システムの場合、ネットワーク110は情報・制御ネットワーク、ネットワーク111はコントロールネットワークである。機器10A〜10Nは、システム全体の動作を監視するシステム監視サーバや、システムの運行計画を管理するサーバ、保守用サーバなどである。機器12A〜12Nは、システム監視サーバからの命令に従って、機器12A〜12N、13A〜13Nに制御命令を送信したり、ログ情報を収集したりする制御サーバなどである。機器13A〜13Nは、制御サーバの命令に従ってモータの回転数を設定したり、設定情報を収集したりするプログラマブルコントローラ(programmable logic controller:PLC)などである。
ミラーポート111、112は、監視対象システム10のネットワーク110、120に流れる通信パケットを収集し、その通信パケットのコピーを通信プロトコル悪用検知装置20に送信する。
通信プロトコル悪用検知装置20はミラーポート111、112に接続されている。通信プロトコル悪用検知装置20は、監視対象システム10のネットワーク110、120に流れる通信パケットを収集および分析することで、正規通信を使った悪用を検知することができる。ここで、正規通信とは、監視対象システム10で許可される機器10A〜10N、12A〜12N、13A〜13N間において、監視対象システム10の業務シーケンスで規定されるサービスに関する通信である。正規通信を使った悪用とは、監視対象システム10で許可される機器10A〜10N、12A〜12N、13A〜13N間において、監視対象システム10の業務シーケンスで規定されるサービスに関する通信を用いることで、業務シーケンスで規定された通りの順番でサービスが実行されないようにすることなどである。すなわち、監視対象システム10では、機器10A〜10N、12A〜12N、13A〜13N間での正規通信を複数組み合わせることで業務シーケンスが実行される。この時、監視対象システム10で許可される機器10A〜10N、12A〜12N、13A〜13N間での正規通信の組み合わせを、業務シーケンスで用いられる正規通信の組み合わせと異ならせることで、正規通信を使った悪用を行うことができる。
通信プロトコル悪用検知装置20には、パケット収集処理部21、正規通信判定処理部22、シーケンスパケット識別処理部23、シーケンス成立判定処理部24および不審通信対応処理部25が設けられている。さらに、通信プロトコル悪用検知装置20は、正規通信テーブル201、正規サービステーブル202、業務シーケンステーブル203、成立待ちシーケンステーブル204、待ちパケットテーブル205および不正通信情報テーブル206を保持する。
パケット収集処理部21は、ミラーポート111、121を介して、監視対象システム10のネットワーク110、120に流れる通信パケットを収集および分析し、通信パケットからメタ情報を抽出する。メタ情報は、例えば、通信元機器および通信先機器のIPアドレス、通信プロトコル、利用サービスの識別するための送信先ポート番号などである。
正規通信判定処理部22は、パケット収集処理部21で抽出されたメタ情報に基づいて、通信先機器が受信した通信パケットが、監視対象システム10で許可された正規通信パケットかどうかを判定する。通信先機器が受信した通信パケットが正規通信パケットの場合、正規通信パケットはシーケンスパケット識別処理部23で処理される。通信先機器が受信した通信パケットが正規通信パケットでない場合、不正通信であるため、不審通信対応処理部25によってアラートを出力するなどの対処処理が実行される。
シーケンスパケット識別処理部23は、正規通信判定処理部22で正規通信パケットと判定された通信パケットが、業務シーケンスを構成する通信パケットかどうかを判定する。業務シーケンスを構成する通信パケットと判定された場合は、その通信パケットはシーケンス成立判定処理部24にて処理される。
シーケンス成立判定処理部24は、シーケンスパケット識別処理部23で業務シーケンスを構成すると判定された通信パケットが関わる業務シーケンスが成立したかどうかを判定する。この時、業務シーケンスで規定された業務を構成する複数の処理が業務シーケンスで規定された順序に従って許容時間内に実行された時に業務シーケンスが成立したと判定することができる。
一方、業務シーケンスで規定された業務を構成する複数の処理が業務シーケンスで規定された順序に従って実行されてない時に業務シーケンスが不成立と判定することができる。あるいは、業務シーケンスで規定された業務を構成する複数の処理が業務シーケンスで規定された許容時間内に実行されてない時に業務シーケンスが不成立と判定することができる。
業務シーケンスが成立した場合は、その業務シーケンスを構成する通信パケットは正常な正規通信と判定される。業務シーケンスが不成立の場合は、業務シーケンスを構成する通信パケットは正規通信を使った悪用であると判断される。
不審通信対応処理部25は、不正通信が検知された場合や、正規通信を使った悪用が検知された場合に、アラートを出力するなどの対処処理を行う。
正規通信テーブル201は、監視対象システム10の通信で許可されている送信元機器と送信先機器を組として登録する。送信元機器および送信先機器は、機器10A〜10N、12A〜12N、13A〜13Nから選択される。
正規サービステーブル202は、監視対象システム10で使用が許可されているサービスの情報を格納する。このサービスの情報として、監視対象システム10の業務を構成するサービスを実現する処理に用いられるクライアント機器とサーバ機器を組として設定することができる。
業務シーケンステーブル203は、監視対象システム10で実施される業務について、その通信シーケンスの情報を格納する。この通信シーケンスの情報として、監視対象システム10の業務を構成するサービスの順序および業務の実行にかかる許容時間を設定することができる。
成立待ちシーケンステーブル204は、実行中の業務シーケンスの情報を格納する。この時、成立待ちシーケンステーブル204は、実行中の業務シーケンスの次要素を保持することができる。次要素は、業務シーケンスで次に実行されるサービスを示すことができる。
待ちパケットテーブル205は、成立待ちシーケンスを構成する通信の情報を格納する。この時、待ちパケットテーブル205は、成立待ちシーケンステーブル204で特定される業務シーケンスに用いられる待ち状態の通信パケットで指定される送信元機器と送信先機器の組を示すことができる。
不正通信情報テーブル206は、正規通信を使った悪用と判断された通信の情報を格納する。この時、不正通信情報テーブル206は、正規通信を使った悪用に用いられた送信元機器と送信先機器の組を示すことができる。
そして、正規通信判定処理部22は、監視対象システム10の通信で用いられる通信パケットに含まれる送信元情報と送信先情報と、正規通信テーブル201に登録された送信元機器と送信先機器との照合結果に基づいて、その通信パケットが正規通信パケットかどうかを判定する。
シーケンスパケット識別処理部23は、正規通信パケットに含まれる送信元情報と送信先情報と、正規サービステーブル202に登録されたサービスに関するクライアント機器とサーバ機器との照合結果に基づいて、監視対象システム10の業務シーケンスを構成する通信パケットがどうかを識別する。
シーケンス成立判定処理部24は、監視対象システム10の業務シーケンスを構成する一番目の通信パケットを受信した時に、業務シーケンスの実行状態を示す成立待ちシーケンステーブル204を生成する。さらに、シーケンス成立判定処理部24は、成立待ちシーケンステーブル204で特定される業務シーケンスに用いられる待ち状態の通信パケットで指定される送信元機器と送信先機器を組として登録した待ちパケットテーブル205を生成する。そして、シーケンス成立判定処理部24は、業務シーケンスを構成する通信パケットに含まれる送信元情報と送信先情報に基づいて待ちパケットテーブル205を参照することで、業務シーケンスを構成する通信パケットが待ち状態の通信パケットかどうかを判定する。そして、シーケンス成立判定処理部24は、業務シーケンスを構成する通信パケットが待ち状態の通信パケットかどうかの判定結果に基づいて、業務シーケンステーブル203で規定された業務を構成する複数の処理が業務シーケンステーブル203で規定された順序に従って実行されたかどうかを判断する。
この時、業務シーケンステーブル203で規定された業務を構成する複数の処理が業務シーケンステーブル203で規定された順序に従って実行されていない時は、業務シーケンスが不成立と判定し、業務シーケンスの実行に用いられる正規通信を使った悪用があると判断することができる。このため、業務シーケンスの実行に用いられる正規通信が悪用された場合においても、その正規通信を使った悪用を検知することが可能となる。
図2は、図1の通信プロトコル悪用検知装置のハードウェア構成を示すブロック図である。
図2において、通信プロトコル悪用検知装置20には、CPU(Central Processing Unit)211、メモリ212、記憶装置213、インタフェース214、入出力装置215およびバス216が設けられている。
CPU211は、メモリ212内に格納された各種プログラムを実行することにより、通信プロトコル悪用検知装置20の動作を統括的に制御する。
メモリ212は、CPU211が実行中の各種プログラムを格納したり、CPU211がプログラム実行中に用いるワークエリアを提供したりする。
記憶装置213は、ハードディスクやフラッシュメモリなどの記憶媒体である。記憶装置213には、通信監視プログラム213Aおよびテーブル213Bが格納されている。
IF214a、214b、214nは、通信プロトコル悪用検知装置20を監視対象システム10のネットワーク110、120に接続する。IF214a、214b、214nを複数設けることで、複数のネットワーク110、120で構成される監視対象システム10の通信パケットを収集することができる。
入出力装置215は、ユーザが各種情報を入力するキーボードおよびマウス、ユーザに情報の出力を行うディスプレイなどである。
バス216は、CPU211、メモリ212、記憶装置213、IF214a、214b、214nおよび入出力装置215を互いに通信可能に接続する。
テーブル213Bには、図1の正規通信テーブル201、正規サービステーブル202および業務シーケンステーブル203を格納することができる。そして、CPU211は、通信監視プログラム213Aおよびテーブル213Bをメモリ212に読み出し、テーブル213Bを参照しつつ通信監視プログラム213Aを実行することにより、パケット収集処理部21、正規通信判定処理部22、シーケンスパケット識別処理部23、シーケンス成立判定処理部24および不審通信対応処理部25の機能を実現することができる。
図3は、図1の通信監視システムの通信で用いられる通信パケットの構成を示す図である。
図3において、通信パケットPAにはデータDAが設定され、データDAにはヘッダHDが付加されている。ヘッダHDには、送信元情報J1と送信先情報J2が設定される。送信元情報J1は、送信元機器のIPアドレス、送信先情報J2は、送信先機器のIPアドレスまたは送信先ポート番号を用いることができる。
この時、送信元機器のIPアドレスは、業務シーケンスで提供されるサービスを利用するクライアント機器、送信先機器のIPアドレスは、クライアント機器にサービスを提供するサーバ機器、送信先ポート番号は、利用サービスの識別するためのサービス識別子をそれぞれ特定するために用いることができる。
図4は、図1の正規通信テーブルの一例を示す図である。
図4において、正規通信テーブル201は、監視対象システム10で許可されている通信について、通信元機器と通信先機器の組と、その組を一意に特定する識別子ID−1を格納する。識別子ID−1は列301に格納し、通信元機器は列302に格納し、通信先機器は列303に格納することができる。通信元機器および通信先機器として、例えば、通信元および通信先として選択された機器10A〜10N、12A〜12N、13A〜13NのIPアドレスを格納することができる。
図5は、図1の正規サービステーブルの一例を示す図である。
図5において、正規サービステーブル202は、監視対象システム10で使用が許可されているサービスについて、そのサービスを提供するサーバ機器、そのサービスを利用するクライアント機器、サービスを特定するサービス識別子、そのサービスに対応したサーバ機器とクライアント機器の組を一意に特定する正規サービス識別子ID−2を格納する。正規サービス識別子ID−2で特定されるサーバ機器とクライアント機器との組は、図4の正規通信テーブル201に格納された通信元機器と通信先機器の組から選択される。この時、正規サービス識別子ID−2で特定されるサーバ機器とクライアント機器の間の通信にて正規通信を実現することができる。正規サービス識別子ID−2は列401に格納し、サービス識別子は列402に格納し、サーバ機器は列403に格納し、クライアント機器は列404に格納することができる。
図6は、図1の業務シーケンステーブルの一例を示す図である。
図6において、業務シーケンステーブル203は、監視対象システム10で実施される業務について、その通信シーケンスを格納する。具体的には、業務シーケンステーブル203は、業務シーケンスを一意に特定する業務シーケンス識別子ID−3、業務シーケンスを構成する要素の数(要素数)、その業務シーケンスを構成するサービスを特定する正規サービス識別子リスト、その業務シーケンスが開始されてから完了するまでの許容時間を格納する。正規サービス識別子リストには、正規サービス識別子ID−2が、業務シーケンスを構成するサービスの実行順に列挙される。要素数は、業務シーケンスを構成するサービスの個数である。業務シーケンス識別子ID−3は列501に格納し、要素数は列502に格納し、正規サービス識別子リストは列503に格納し、許容時間は列504に格納することができる。
図7は、図1の成立待ちシーケンステーブルの一例を示す図である。
図7において、成立待ちシーケンステーブル204は、シーケンスパケット識別処理部23にて業務シーケンスを構成すると判定された通信パケットが属する業務シーケンスの進行状態を管理する。
具体的には、成立待ちシーケンステーブル204は、成立待ち業務シーケンスを一意に特定する成立待ちシーケンス識別子ID−4、成立待ち中の業務シーケンスの開始時刻、成立待ちしている業務シーケンスを特定する業務シーケンス識別子ID−3、当該業務シーケンスの次の実行要素の番号(次要素No)を格納する。成立待ちシーケンス識別子ID−4は列601に格納し、開始時刻は列602に格納し、業務シーケンス識別子ID−3は列603に格納し、次要素Noは列604に格納することができる。
図8は、図1の待ちパケットテーブルの一例を示す図である。
図8において、待ちパケットテーブル205は、業務シーケンスの成立判定中の成立待ちシーケンスに属する通信パケットの情報を格納する。具体的には、待ちパケットテーブル205は、待ちパケットを一意に特定する識別子ID−5、そのパケットが属する成立待ち業務シーケンスを特定する成立待ちシーケンス識別子ID−4、当該通信パケットの発生時刻、通信元機器、通信先機器およびサービス識別子を格納する。識別子ID−5は列701に格納し、成立待ちシーケンス識別子ID−4は列702に格納し、発生時刻は列703に格納し、通信元機器は列704に格納し、通信先機器は列705に格納し、サービス識別子は列706に格納することができる。
図9は、不正通信情報テーブルの一例を示す図である。
図9において、不正通信情報テーブル206は、シーケンス成立判定処理部24で正規通信を使った悪用と判断された不正通信の情報を格納する。具体的には、不正通信情報テーブル206は、不正通信を一意に識別する識別子ID−6、当該不正通信の発生時刻、不正通信が属するシーケンスを特定する業務シーケンス識別子ID−3、不正通信に用いられた通信元機器、不正通信に用いられた通信先機器および判定種別を格納する。識別子ID−6は列801に格納し、発生時刻は列802に格納し、業務シーケンス識別子ID−3は列803に格納し、通信元機器は列804に格納し、通信先機器は列805に格納し、判定種別は列806に格納することができる。
以下、図6の業務シーケンステーブル203に格納された業務シーケンス識別子ID−3として2が付与された業務シーケンスSK2を例にとって正規通信を使った悪用を具体的に説明する。
図10(a)は、図1の通信監視システムで実行される業務シーケンスに従った正規通信方法の一例を示す図、図10(b)は、図10(a)の業務シーケンスの実行に用いられる正規通信を使った悪用の一例を示す図、図10(c)は、図10(a)の業務シーケンスの実行に用いられる正規通信を使った悪用のその他の例を示す図である。
図6の業務シーケンステーブル203において、業務シーケンス識別子ID−3が2の時の正規サービス識別子リストには、3、4、5という正規サービス識別子ID−2が順に格納されている。
図5に示すように、3という正規サービス識別子ID−2で特定されるサービスには、クライアント機器として機器12A、サーバ機器として機器10Bが用いられる。この時、図10(a)に示すように、機器12Aと機器10Bとの間で正規通信K3が行われる。そして、機器10Bは、正規通信K3に基づいて、3という正規サービス識別子ID−2で特定されるサービスに対応する処理P3を実行する。
また、図5に示すように、4という正規サービス識別子ID−2で特定されるサービスには、クライアント機器として機器12B、サーバ機器として機器13Aが用いられる。この時、図10(a)に示すように、機器12Bと機器13Aとの間で正規通信K4が行われる。そして、機器13Aは、正規通信K4に基づいて、4という正規サービス識別子ID−2で特定されるサービスに対応する処理P4を実行する。
また、図5に示すように、5という正規サービス識別子ID−2で特定されるサービスには、クライアント機器として機器12B、サーバ機器として機器13Bが用いられる。この時、図10(a)に示すように、機器12Bと機器13Bとの間で正規通信K5が行われる。そして、機器13Bは、正規通信K5に基づいて、5という正規サービス識別子ID−2で特定されるサービスに対応する処理P5を実行する。
ここで、業務シーケンステーブル203では許容時間としてT1が設定されているものとする。そして、これらの正規通信K3、K4、K5に基づいて処理P3、P4、P5が許容時間T1内に実行されることにより、業務シーケンステーブル203に登録された業務シーケンスSK2が実現される。ここで、正規通信K3、K4、K5に基づいて実行される処理P3、P4、P5が許容時間T1を超える時は、業務シーケンスSK2が不成立と判断され、正規通信K3、K4、K5を使った悪用と判断することができる。
また、図10(b)に示すように、正規通信K3に基づいて処理P3が実行された後に、正規通信K5に基づいて処理P5が実行されたものとする。この場合、正規通信K4に基づいて実行される処理P4の抜けが発生する。このため、図6の業務シーケンステーブル203において、業務シーケンス識別子ID−3が2の時の正規サービス識別子リストに登録された3、4、5という正規サービス識別子ID−2で特定されるサービスがこの順で実行されない。このため、業務シーケンスSK2が不成立と判断され、正規通信K3、K5を使った悪用と判断することができる。
ここで、業務シーケンスSK2を構成する一番目の処理P3に用いられる通信パケットを受信すると、図7に示すように、業務シーケンスSK2の実行状態を示す情報が成立待ちシーケンステーブル204に登録される。業務シーケンスSK2には業務シーケンス識別子ID−3として2が付与されている。このため、成立待ちシーケンステーブル204の列603には2という業務シーケンス識別子ID−3が登録され、その時に登録された業務シーケンスSK2を一意に特定する1という成立待ちシーケンス識別子ID−4が付与される。
また、図8に示すように、業務シーケンスSK2を構成する一番目の処理P3の次に実行される処理P4に用いられる情報が待ちパケットテーブル205に登録される。業務シーケンスSK2には業務シーケンス識別子ID−3として2が付与されている。図7に示すように、成立待ちシーケンステーブル204において、2という業務シーケンス識別子ID−3には、1という成立待ちシーケンス識別子ID−4が付与されている。このため、待ちパケットテーブル205には、成立待ちシーケンス識別子ID−4として1が登録され、その成立待ちの業務シーケンスSK2を一意に特定する2という識別子ID−5が付与される。また、処理P4には正規通信K4が用いられる。このため、待ちパケットテーブル205には、正規通信K4に用いられる通信元機器として機器12Bが登録され、正規通信K4に用いられる通信先機器として機器13Aが登録される。
そして、図1のシーケンス成立判定処理部24は、正規通信K4に用いられる通信パケットのヘッダHDから抽出された送信元情報J1を、待ちパケットテーブル205に登録された機器12Bに割り当てられたIPアドレスと照合するとともに、正規通信K4に用いられる通信パケットのヘッダHDから抽出された送信先情報J2を、待ちパケットテーブル205に登録された機器13Aに割り当てられたIPアドレスと照合することができる。そして、正規通信K4に用いられる通信パケットのヘッダHDから抽出された送信元情報J1が、待ちパケットテーブル205に登録された機器12Bに割り当てられたIPアドレスと一致しないか、または正規通信K4に用いられる通信パケットのヘッダHDから抽出された送信先情報J2が待ちパケットテーブル205に登録された機器13Aに割り当てられたIPアドレスと一致しない場合、シーケンス成立判定処理部24は、図10(b)の正規通信K4に基づく処理P4の抜けが発生したと判断することができる。シーケンス成立判定処理部24は、正規通信K4に基づく処理P4の抜けが発生した場合、業務シーケンスSK2が不成立と判断し、正規通信K3、K5を使った悪用と判断することができる。
また、図10(c)に示すように、正規通信K3に基づいて処理P3が実行された後に、正規通信K4−1に基づいて処理P4−1が実行され、さらに正規通信K4−2に基づいて処理P4−2が実行され、その後に正規通信K5に基づいて処理P5が実行されたものとする。この場合においても、図6の業務シーケンステーブル203において、業務シーケンス識別子ID−3が2の時の正規サービス識別子リストに登録された3、4、5という正規サービス識別子ID−2で特定されるサービスがこの順で実行されない。このため、業務シーケンスSK2が不成立と判断され、正規通信K3、K4−1、K4−2、K5を使った悪用と判断することができる。
図11は、正規通信を使った悪用の判定処理を示すフローチャートである。
図11において、パケット収集処理部21はIF214a、214b、214nを介し、監視対象システム10のネットワーク110、120に流れる通信パケットを受信する(S901)。そして、パケット収集処理部21は、その通信パケットから、正規通信判定処理部22の判定処理で使用されるメタ情報を抽出し、正規通信判定処理部22に渡す。(S902)。
次に、正規通信判定処理部22は、パケット収集処理部21で抽出されたメタ情報の通信元機器および通信先機器のIPアドレスに基づいて正規通信テーブル201を参照し、当該通信のIPアドレスの組が正規通信テーブル201に格納されているか確認する(S903)。
この時、当該通信のIPアドレスの組が正規通信テーブル201に格納され、且つ、当該IPアドレスの組が使用許可されているサービスを利用していた場合は正規通信と判定し(S904:YES)、シーケンス成立判定処理部24に処理を渡す。そのような条件を満たさない場合は不審通信と判定し(S904:NO)、不審通信対応処理部25に処理を渡す。
ここで、正規通信パケットのメタ情報として、通信元機器のIPアドレス、通信先機器のIPアドレスおよび利用サービスの識別するための送信先ポート番号を設定することができる。そして、シーケンスパケット識別処理部23は、正規通信パケットのメタ情報に基づいて正規サービステーブル202を参照することで、使用許可されているサービスの判定を行うことができる。この時、利用サービスの識別するための送信先ポート番号はサービス識別子、通信先機器のIPアドレスはサーバ機器、通信元機器のIPアドレスはクライアント機器に対応せることができる。そして、正規通信パケットのメタ情報に、これらの情報の組が正規サービステーブル202に格納されている場合、許可されているサービスの利用と判定することができる。
次に、シーケンス成立判定処理部24は、正規通信と判定された通信パケットに基づいて、業務シーケンスが正常に実施されたかどうかを判定することで、シーケンスの成立または不成立を判断する(S905)。シーケンスの不成立とは、シーケンス途中にシーケンスを構成すべき通信パケットの抜けが生じたり、通信パケットの発生順番の入れ替えが発生したり、通信パケットの重複が発生したりすることである。
シーケンス成立判定処理部24は、シーケンスが不成立の場合(S906:YES)、正規通信を使った悪用と判定し、不審通信対応処理部25に処理を渡す。シーケンスが不成立でない場合(S906:NO)、パケット受信処理(S901)に戻り、次の通信パケットを待つ。
シーケンス成立判定処理部24が正規通信を使った悪用と判定すると、不審通信対応処理部25は、不正通信や正規通信を使った悪用を検知した際の対処処理を行う(S907)。不正通信や正規通信を使った悪用に使われた通信パケットのメタ情報から抽出される、不正通信や正規通信を使った悪用に用いられた機器のIPアドレスを出力したり、不正通信や正規通信を使った悪用の判定理由をアラートとして出力する。
図12は、シーケンス成立判定処理を示すフローチャートである。
図12において、シーケンスパケット識別処理部23は、正規通信パケットの送信元機器のIPアドレスに基づいてクライアント機器を特定するとともに、正規通信パケットの送信先機器のIPアドレスに基づいてサーバ機器を特定する。さらに、シーケンスパケット識別処理部22は、正規通信パケットの送信先ポート番号に基づいて、利用サービスの識別するためのサービス識別子を特定する。
そして、シーケンスパケット識別処理部23は、それらのクライアント機器、サーバ機器およびサービス識別子に基づいて、正規サービステーブル202を参照することにより、正規サービス識別子ID−2を特定する。そして、シーケンスパケット識別処理部22は、正規サービス識別子ID−2に基づいて業務シーケンステーブル203を参照し、その正規サービス識別子ID−2が、業務シーケンステーブル203の列503の正規サービスIDリストに含まれているかを確認する(S1001)。
シーケンスパケット識別処理部23は、正規サービス識別子ID−2が正規サービスIDリストに含まれている場合は、業務シーケンスを構成する通信と判定する(S1002:YES)。正規サービス識別子ID−2が正規サービスIDリストに含まれていない場合は、業務シーケンスではない通信と判定し(S1002:NO)、S1001に処理を戻す。
次に、シーケンス成立判定処理部24は、業務シーケンスを構成する通信の場合、正規サービス識別子ID−2がどの業務シーケンスに対応するかを特定する業務シーケンス識別子ID−3を、業務シーケンステーブル203から取得する(S1003)。例えば、図6において、正規サービス識別子ID−2が1の場合、業務シーケンス識別子ID−3は1となり、正規サービス識別子ID−2が3の場合、業務シーケンス識別子ID−3は2となる。
次に、シーケンス成立判定処理部24は、業務シーケンス識別子ID−3が成立待ちシーケンステーブル204に登録されているか確認する。業務シーケンス識別子ID−3が成立待ちシーケンステーブル204に登録されていない場合は新規シーケンス待ちとなり(S1004:YES)、この新規シーケンスに関するシーケンス待ち情報(開始時刻、業務シーケンス識別子ID−3および次要素No)を成立待ちシーケンステーブル204に格納するとともに、このシーケンス待ち情報に成立待ちシーケンス識別子ID−4を付与する(S1005)。さらに、シーケンス成立判定処理部24は、当該正規通信の通信パケットの情報(成立待ちシーケンス識別子ID−4、当該通信パケットの発生時刻、通信元機器、通信先機器およびサービス識別子)を待ちパケットテーブル205に登録する(S1006)。
一方、新規シーケンス待ちでない場合(S1004:NO)、シーケンス成立判定処理部24は、当該通信パケットが、成立待ちシーケンステーブル204で待ち受けられているかどうかを確認する。成立待ちシーケンステーブル204には、待ち受け中の業務シーケンスの業務シーケンス識別子ID−3と次要素Noが格納されている。シーケンス成立判定処理部24は、業務シーケンス識別子ID−3および次要素Noに基づいて、待ち受けている通信パケットを特定するための正規サービス識別子ID−2を業務シーケンステーブル203から取得する。
そして、シーケンス成立判定処理部24は、正規サービス識別子ID−2に基づいて正規サービステーブル202を参照し、待ち受け通信パケットを特定する。待ち受け通信パケットと判定された場合は(S1007:YES)、業務シーケンステーブル203の業務シーケンス識別子ID−3に関連する要素数と、成立待ちシーケンステーブル204の業務シーケンス識別子ID−3に関連する次要素Noを比較し、次の待ち要素がなければ、シーケンス成立と判定する(S1008:YES)。そして、シーケンス成立判定処理部24は、成立となった業務シーケンスの情報を成立待ちシーケンステーブル204から削除するとともに、その業務シーケンスに関連する通信パケットの情報を待ちパケットテーブル205から削除する(S1011)。
一方、次の待ち要素があれば、業務シーケンス成立待ち途中であると判定する(S1008:NO)。そして、シーケンス成立判定処理部24は、成立待ちシーケンステーブル204を更新し、業務シーケンス成立待ち途中の業務シーケンス識別子に関連する次要素Noを1つ進める(S1009)。
一方、待ち受け通信パケットでない場合は(S1007:NO)、当該業務シーケンスは不成立となるため、正規通信を使った悪用と判定し、当該業務シーケンスに関する情報(当該不正通信の発生時刻、業務シーケンス識別子ID−3、通信元機器、通信先機器および判定種別)を不正通信情報テーブル206に登録する(S1010)。そして、不成立となった業務シーケンスの情報を成立待ちシーケンステーブル204から削除するとともに、その業務シーケンスに関連する通信パケットの情報を待ちパケットテーブル205から削除する(S1011)。
図13は、シーケンスタイムアウト判定処理を示すフローチャートである。この処理は、シーケンス成立判定処理部23において、ある所定の周期(例えば1秒毎)で実施される。
図13において、成立待ちシーケンステーブル204に登録されている業務シーケンスの開始時刻と現在の時刻を比較する。そして、業務シーケンスの開始時刻からの経過時間が、その業務シーケンスに許されている許容時間を超えている場合はタイムアウトであると判定する(S1101:YES)。この許容時間は、図5の業務シーケンステーブル203の列504で設定されている許容時間である。その業務シーケンスに許されている許容時間を超えていない場合は(S1101:NO)、処理を終了する。
シーケンス成立判定処理部23は、タイムアウトとなった業務シーケンスを、正規通信を使った悪用によるもの判定し、不正通信情報テーブル206に登録する(S1102)。そして、不成立となった業務シーケンスの情報を成立待ちシーケンステーブル204から削除するとともに、その業務シーケンスに関連する通信パケットの情報を待ちパケットテーブル205から削除する(S1103)。
以上、説明したように、上述した通信プロトコル悪用検知装置20は、正規通信を使ったサービスが業務シーケンスの規定通りに実行されているかどうかを判断することができ、業務シーケンスの実行に用いられる正規通信を使った悪用を検知することができる。
1 監視対象システム、2 通信プロトコル悪用検知装置201 パケット収集処理部、22 正規通信判定処理部、23 シーケンスパケット識別処理部、24 シーケンス成立判定処理部、25 不審通信対応処理部、201 正規通信テーブル、202 正規サービステーブル、203 業務シーケンステーブル、204 成立待ちシーケンステーブル、205 待ちパケットテーブル、206 不正通信情報テーブル、211 CPU、212 メモリ、213 記憶装置、214 インタフェース、215 入出力装置、216 バス

Claims (10)

  1. 業務シーケンスに従って送信元機器と送信先機器との間で通信を行い、前記業務シーケンスで規定された業務を構成する複数の処理を実行する業務システムと、
    前記業務システムの通信で用いられる通信パケットを監視する通信監視装置とを備え、
    前記通信監視装置は、前記通信パケットに含まれる送信元情報と送信先情報に基づいて、前記複数の処理が前記業務シーケンスに従って実行されているかを判定し、
    前記通信監視装置は、前記業務シーケンスで規定された許容時間内に、前記業務シーケンスで指定された送信元機器と送信先機器との間の通信に基づいて、前記業務シーケンスで規定された業務を構成する複数の処理が完了しない場合、前記送信元機器と前記送信先機器との間の正規通信を用いた悪用と判断する通信監視システム。
  2. 業務シーケンスに従って送信元機器と送信先機器との間で通信を行い、前記業務シーケンスで規定された業務を構成する複数の処理を実行する業務システムと、
    前記業務システムの通信で用いられる通信パケットを監視する通信監視装置とを備え、
    前記通信監視装置は、前記通信パケットに含まれる送信元情報と送信先情報に基づいて、前記複数の処理が前記業務シーケンスに従って実行されているかを判定し、
    前記通信監視装置は、
    前記業務システムの通信で用いられる通信パケットを収集するパケット収集処理部と、
    前記通信パケットに含まれる送信元情報と送信先情報に基づいて、前記通信パケットが正規通信パケットかどうかを判定する正規通信判定処理部と、
    前記正規通信パケットに含まれる送信元情報と送信先情報に基づいて、前記正規通信パケットが前記業務シーケンスを構成する通信パケットがどうかを識別するシーケンスパケット識別処理部と、
    前記業務シーケンスを構成する通信パケットに含まれる送信元情報と送信先情報に基づいて、前記業務シーケンスで規定された業務を構成する複数の処理が前記業務シーケンスで規定された順序に従って実行されたかどうかを判断するシーケンス成立判定処理部とを備える通信監視システム。
  3. 前記業務システムの通信で許可される送信元機器と送信先機器を組として登録した正規通信テーブルと、
    前記業務を構成する処理に用いられるクライアント機器とサーバ機器を組として登録した正規サービステーブルと、
    前記業務を構成する処理の順序を登録した業務シーケンステーブルとを備え、
    前記正規通信判定処理部は、前記業務システムの通信で用いられる通信パケットに含まれる送信元情報と送信先情報と、前記正規通信テーブルに登録された送信元機器と送信先機器との照合結果に基づいて、前記通信パケットが正規通信パケットかどうかを判定し、
    前記シーケンスパケット識別処理部は、前記正規通信パケットに含まれる送信元情報と送信先情報と、前記正規サービステーブルに登録された処理に関するクライアント機器とサーバ機器との照合結果に基づいて、前記業務シーケンスを構成する通信パケットがどうかを識別し、
    前記シーケンス成立判定処理部は、
    前記業務シーケンスを構成する一番目の処理に用いられる通信パケットを受信した時に、前記業務シーケンスの実行状態を示す成立待ちシーケンステーブルを生成し、
    前記成立待ちシーケンステーブルで特定される業務シーケンスに用いられる待ち状態の通信パケットで指定される送信元機器と送信先機器を組として登録した待ちパケットテーブルを生成し、
    前記業務シーケンスを構成する通信パケットに含まれる送信元情報と送信先情報に基づいて前記待ちパケットテーブルを参照することで、前記通信パケットが前記待ち状態の通信パケットかどうかを判定し、
    前記通信パケットが前記待ち状態の通信パケットかどうかの判定結果に基づいて、前記業務シーケンステーブルで規定された業務を構成する複数の処理が前記業務シーケンステーブルで規定された順序に従って実行されたかどうかを判断する請求項に記載の通信監視システム。
  4. 前記送信元情報は前記送信元機器のIPアドレスであり、前記送信先情報は前記送信先機器のIPアドレスまたは送信先ポート番号である請求項1ないし3のいずれか一項に記載の通信監視システム。
  5. 前記通信監視装置は、
    前記業務シーケンスで規定された順序に従って前記処理が実行されていない時に前記業務シーケンスが不成立と判定し、
    前記業務シーケンスが不成立の場合、前記送信元機器と前記送信先機器との間の正規通信を用いた悪用と判断する請求項1ないし4のいずれか一項に記載の通信監視システム。
  6. 前記通信監視装置は、前記業務シーケンスが実行されている時に、前記業務シーケンスで規定された業務を構成する処理の抜けまたは重複あった時に前記正規通信を用いた悪用と判断する請求項記載の通信監視システム。
  7. 業務シーケンスで用いられる通信パケットを監視し、
    前記通信パケットに含まれる送信元情報と送信先情報に基づいて、前記業務シーケンスで規定された業務を構成する複数の処理が前記業務シーケンスに従って実行されているかを判定し、
    前記業務シーケンスで規定された許容時間内に、前記業務シーケンスで指定された送信元機器と送信先機器との間の通信に基づいて、前記業務シーケンスで規定された業務を構成する複数の処理が完了しない場合、前記送信元機器と前記送信先機器との間の正規通信を用いた悪用と判断する通信監視装置。
  8. 業務シーケンスで用いられる通信パケットを監視し、
    前記通信パケットに含まれる送信元情報と送信先情報に基づいて、前記業務シーケンスで規定された業務を構成する複数の処理が前記業務シーケンスに従って実行されているかを判定し、
    前記通信パケットを収集するパケット収集処理部と、
    前記通信パケットに含まれる送信元情報と送信先情報に基づいて、前記通信パケットが正規通信パケットかどうかを判定する正規通信判定処理部と、
    前記正規通信パケットに含まれる送信元情報と送信先情報に基づいて、前記正規通信パケットが前記業務シーケンスを構成する通信パケットがどうかを識別するシーケンスパケット識別処理部と、
    前記業務シーケンスを構成する通信パケットに含まれる送信元情報と送信先情報に基づいて、前記業務シーケンスで規定された業務を構成する複数の処理が前記業務シーケンスで規定された順序に従って実行されたかどうかを判断するシーケンス成立判定処理部とを備える通信監視装置。
  9. 業務シーケンスで用いられる通信パケットを監視し、
    前記通信パケットに含まれる送信元情報と送信先情報に基づいて、前記業務シーケンスで規定された業務を構成する複数の処理が前記業務シーケンスに従って実行されているかをプロセッサにより判定し、
    前記業務シーケンスに従って送信元機器と送信先機器との間で通信を行う業務システムから通信パケットを収集し、
    前記通信パケットに含まれる送信元情報と送信先情報に基づいて、前記通信パケットが正規通信パケットかどうかを判定し、
    前記正規通信と判定された通信パケットに含まれる送信元情報と送信先情報に基づいて、前記正規通信パケットが前記業務シーケンスを構成する通信パケットがどうかを識別し、
    前記業務シーケンスを構成する通信パケットに含まれる送信元情報と送信先情報に基づいて、前記業務シーケンスで規定された業務を構成する複数の処理が前記業務シーケンスで規定された順序に従って実行されたかどうかを判断する通信監視方法。
  10. 業務シーケンスで用いられる通信パケットを監視し、
    前記通信パケットに含まれる送信元情報と送信先情報に基づいて、前記業務シーケンスで規定された業務を構成する複数の処理が前記業務シーケンスに従って実行されているかをプロセッサにより判定し、
    前記業務シーケンスで規定された順序に従って前記処理が実行された時に前記業務シーケンスが成立したと判定し、
    前記業務シーケンスで規定された順序に従って前記処理が実行されていない時に前記業務シーケンスが不成立と判定し、
    前記業務シーケンスが不成立の場合、業務システムの通信で用いられる送信元機器と送信先機器との間の正規通信を用いた悪用と判断し、
    前記業務システムの通信で用いられる送信元機器と送信先機器の組を正規通信テーブルに登録し、
    前記業務を構成する処理に用いられるクライアント機器とサーバ機器の組を正規サービステーブルに登録し、
    前記業務を構成する処理の順序を業務シーケンステーブルに登録し、
    前記業務システムの通信で用いられる通信パケットに含まれる送信元情報と送信先情報と、前記正規通信テーブルに登録された送信元機器と送信先機器との照合結果に基づいて、前記通信パケットが正規通信パケットかどうかを判定し、
    前記正規通信パケットに含まれる送信元情報と送信先情報と、前記正規サービステーブルに登録された処理に関するクライアント機器とサーバ機器との照合結果に基づいて、前記業務シーケンスを構成する通信パケットがどうかを識別し、
    前記業務シーケンスを構成する一番目の処理に用いられる通信パケットを受信した時に、前記業務シーケンスの実行状態を示す成立待ちシーケンステーブルを生成し、
    前記成立待ちシーケンステーブルで特定される業務シーケンスに用いられる待ち状態の通信パケットで指定される送信元機器と送信先機器を組として登録した待ちパケットテーブルを生成し、
    前記業務シーケンスを構成する通信パケットに含まれる送信元情報と送信先情報に基づいて前記待ちパケットテーブルを参照することで、前記通信パケットが前記待ち状態の通信パケットかどうかを判定し、
    前記通信パケットが前記待ち状態の通信パケットかどうかの判定結果に基づいて、前記業務シーケンステーブルで規定された業務を構成する複数の処理が前記業務シーケンステーブルで規定された順序に従って実行されたかどうかを判断する通信監視方法。
JP2017252939A 2017-12-28 2017-12-28 通信監視システム、通信監視装置および通信監視方法 Active JP6873032B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2017252939A JP6873032B2 (ja) 2017-12-28 2017-12-28 通信監視システム、通信監視装置および通信監視方法
PCT/JP2018/042430 WO2019130894A1 (ja) 2017-12-28 2018-11-16 通信監視システム、通信監視装置および通信監視方法
US16/954,946 US11595419B2 (en) 2017-12-28 2018-11-16 Communication monitoring system, communication monitoring apparatus, and communication monitoring method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017252939A JP6873032B2 (ja) 2017-12-28 2017-12-28 通信監視システム、通信監視装置および通信監視方法

Publications (2)

Publication Number Publication Date
JP2019121811A JP2019121811A (ja) 2019-07-22
JP6873032B2 true JP6873032B2 (ja) 2021-05-19

Family

ID=67066962

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017252939A Active JP6873032B2 (ja) 2017-12-28 2017-12-28 通信監視システム、通信監視装置および通信監視方法

Country Status (3)

Country Link
US (1) US11595419B2 (ja)
JP (1) JP6873032B2 (ja)
WO (1) WO2019130894A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7269822B2 (ja) * 2019-08-06 2023-05-09 株式会社日立製作所 通信監視装置及び通信監視方法
JP7462550B2 (ja) 2020-12-24 2024-04-05 株式会社日立製作所 通信監視対処装置、通信監視対処方法、及び通信監視対処システム

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005352673A (ja) * 2004-06-09 2005-12-22 Fujitsu Ltd 不正アクセス監視プログラム、装置および方法
JP4392294B2 (ja) * 2004-06-15 2009-12-24 株式会社日立製作所 通信統計収集装置
US20090178140A1 (en) * 2008-01-09 2009-07-09 Inventec Corporation Network intrusion detection system
US8300532B1 (en) * 2008-09-23 2012-10-30 Juniper Networks, Inc. Forwarding plane configuration for separation of services and forwarding in an integrated services router
US8291258B2 (en) * 2010-01-08 2012-10-16 Juniper Networks, Inc. High availability for network security devices
JP5454363B2 (ja) * 2010-06-02 2014-03-26 富士通株式会社 解析プログラム、解析装置および解析方法
KR20130017333A (ko) * 2011-08-10 2013-02-20 한국전자통신연구원 응용 계층 기반의 슬로우 분산서비스거부 공격판단 시스템 및 방법
KR20130030086A (ko) * 2011-09-16 2013-03-26 한국전자통신연구원 비정상 세션 연결 종료 행위를 통한 분산 서비스 거부 공격 방어 방법 및 장치
US9825841B2 (en) * 2012-06-29 2017-11-21 Telefonaktiebolaget Lm Ericsson (Publ) Method of and network server for detecting data patterns in an input data stream
RU2608464C2 (ru) * 2012-09-28 2017-01-18 Телефонактиеболагет Лм Эрикссон (Пабл) Устройство, способ и сетевой сервер для обнаружения структур данных в потоке данных
US9485262B1 (en) * 2014-03-28 2016-11-01 Juniper Networks, Inc. Detecting past intrusions and attacks based on historical network traffic information
JP2016139232A (ja) * 2015-01-27 2016-08-04 株式会社日立製作所 セキュリティインシデント検知システムおよびセキュリティインシデント検知方法
US10015188B2 (en) 2015-08-20 2018-07-03 Cyberx Israel Ltd. Method for mitigation of cyber attacks on industrial control systems
KR102462830B1 (ko) * 2016-03-02 2022-11-04 한국전자통신연구원 플로우 정보를 이용한 분산 반사 서비스 거부 공격 검출 장치 및 방법

Also Published As

Publication number Publication date
WO2019130894A1 (ja) 2019-07-04
US11595419B2 (en) 2023-02-28
US20200382541A1 (en) 2020-12-03
JP2019121811A (ja) 2019-07-22

Similar Documents

Publication Publication Date Title
KR101977731B1 (ko) 제어 시스템의 이상 징후 탐지 장치 및 방법
CN105007282B (zh) 面向网络服务提供商的恶意软件网络行为检测方法及系统
CN108063753A (zh) 一种信息安全监测方法及系统
WO2017066359A1 (en) Determining direction of network sessions
KR20190076382A (ko) 보안 위협 탐지 게이트웨이, 보안 통제 서버 및 IoT 단말의 보안 위협 탐지 방법
CN101909059B (zh) 删除残留客户端信息的方法、系统及认证服务器
JP2016143320A (ja) ログ監視方法、ログ監視装置、ログ監視システム、及びログ監視プログラム
JP2008113409A (ja) トラフィック制御システム及び管理サーバ
JP2012221274A (ja) ネットワークマネジメントシステム及びサーバ
CN113614718A (zh) 异常用户会话检测器
CN108293039A (zh) 处理网络威胁
CN104067558B (zh) 网络访问装置和用于处理网络中的分组的方法
JP6873032B2 (ja) 通信監視システム、通信監視装置および通信監視方法
CN115622726A (zh) 基于opc ua的异常检测和恢复系统以及方法
CN113660265B (zh) 一种网络攻击测试方法、装置、电子设备及存储介质
CN103634166A (zh) 一种设备存活检测方法及装置
CN118175027A (zh) 边缘节点部署方法、装置、计算机设备和存储介质
CN114584366A (zh) 电力监控网络安全检测系统及方法
KR102578799B1 (ko) 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
JP5531064B2 (ja) 通信装置、通信システム、通信方法、および、通信プログラム
CN112383417B (zh) 一种终端安全外联检测方法、系统、设备及可读存储介质
KR102307837B1 (ko) 다세대 홈 네트워크 데이터의 중앙 집중형 수집 및 저장 방법 및 시스템
CN109889552A (zh) 电力营销终端异常流量监控方法、系统及电力营销系统
CN114745454A (zh) 边界防护装置、系统、方法、计算机设备及存储介质
CN108375946A (zh) 一种信息安全监控装置和工业控制系统

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200323

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210209

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210324

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210413

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210420

R150 Certificate of patent or registration of utility model

Ref document number: 6873032

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150