特開2021-72586(P2021-72586A)IP Force 特許公報掲載プロジェクト 2015.5.11 β版

知財求人 - 知財ポータルサイト「IP Force」

▶ アズビル株式会社の特許一覧
特開2021-72586不正接続検知装置、不正接続検知システム、および不正接続検知方法
<>
  • 特開2021072586-不正接続検知装置、不正接続検知システム、および不正接続検知方法 図000003
  • 特開2021072586-不正接続検知装置、不正接続検知システム、および不正接続検知方法 図000004
  • 特開2021072586-不正接続検知装置、不正接続検知システム、および不正接続検知方法 図000005
  • 特開2021072586-不正接続検知装置、不正接続検知システム、および不正接続検知方法 図000006
  • 特開2021072586-不正接続検知装置、不正接続検知システム、および不正接続検知方法 図000007
  • 特開2021072586-不正接続検知装置、不正接続検知システム、および不正接続検知方法 図000008
  • 特開2021072586-不正接続検知装置、不正接続検知システム、および不正接続検知方法 図000009
  • 特開2021072586-不正接続検知装置、不正接続検知システム、および不正接続検知方法 図000010
  • 特開2021072586-不正接続検知装置、不正接続検知システム、および不正接続検知方法 図000011
  • 特開2021072586-不正接続検知装置、不正接続検知システム、および不正接続検知方法 図000012
  • 特開2021072586-不正接続検知装置、不正接続検知システム、および不正接続検知方法 図000013
  • 特開2021072586-不正接続検知装置、不正接続検知システム、および不正接続検知方法 図000014
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】特開2021-72586(P2021-72586A)
(43)【公開日】2021年5月6日
(54)【発明の名称】不正接続検知装置、不正接続検知システム、および不正接続検知方法
(51)【国際特許分類】
   H04L 12/28 20060101AFI20210409BHJP
   H04L 12/70 20130101ALI20210409BHJP
   G06F 13/00 20060101ALI20210409BHJP
【FI】
   H04L12/28 200M
   H04L12/70 100Z
   G06F13/00 351Z
【審査請求】未請求
【請求項の数】9
【出願形態】OL
【全頁数】16
(21)【出願番号】特願2019-199640(P2019-199640)
(22)【出願日】2019年11月1日
(71)【出願人】
【識別番号】000006666
【氏名又は名称】アズビル株式会社
(74)【代理人】
【識別番号】100098394
【弁理士】
【氏名又は名称】山川 茂樹
(74)【代理人】
【識別番号】100064621
【弁理士】
【氏名又は名称】山川 政樹
(72)【発明者】
【氏名】岡山 義孝
【テーマコード(参考)】
5B089
5K030
5K033
【Fターム(参考)】
5B089GA11
5B089GA21
5B089GB02
5B089JA35
5B089JB12
5B089JB16
5B089KA17
5B089MC02
5K030GA14
5K030JA10
5K030KA06
5K033AA06
5K033BA08
5K033DA01
5K033DB12
5K033DB20
5K033EA07
(57)【要約】
【課題】より簡易な構成でネットワークにおける不正接続を検知することを目的とする。
【解決手段】
不正接続検知装置1は、ネットワークNWへの接続が許可されているコントローラ2a、2b、2c各々がユニキャスト通信によりネットワークNW内で送信した送信パケット数S2a、S2b、S2cおよび受信パケット数R2a、R2b、R2cを取得する取得部11と、取得された送信パケット数S2a、S2b、S2cおよび受信パケット数R2a、R2b、R2cから、ネットワークNW内でコントローラ2a、2b、2cがユニキャスト通信により送信したパケットの総数を示す送信パケット数SNWおよび受信パケット数RNWを集計する集計部12と、集計された送信パケット数SNWと受信パケット数RNWとが異なる場合に、ネットワークNWにおいて不正接続が発生したと判断する判断部13とを備える。
【選択図】 図2
【特許請求の範囲】
【請求項1】
ネットワークへの接続が許可されている複数の通信機器各々がユニキャスト通信により前記ネットワーク内で送信したパケットの数を示す第1送信パケット数および受信したパケットの数を示す第1受信パケット数を取得するように構成された取得部と、
取得された前記複数の通信機器各々の前記第1送信パケット数および前記第1受信パケット数から、前記ネットワーク内で前記複数の通信機器がユニキャスト通信により送信したパケットの総数を示す第2送信パケット数および受信したパケットの総数を示す第2受信パケット数を集計するように構成された集計部と、
集計された前記第2送信パケット数と前記第2受信パケット数とを比較して、前記第2送信パケット数と前記第2受信パケット数とが異なる場合に、前記ネットワークにおいて不正接続が発生したと判断するように構成された判断部と
を備える不正接続検知装置。
【請求項2】
請求項1に記載の不正接続検知装置において、
前記判断部は、前記第2送信パケット数が前記第2受信パケット数よりも少ない場合に、前記ネットワークにおいて不正接続が発生したと判断する
ことを特徴とする不正接続検知装置。
【請求項3】
請求項1または請求項2に記載の不正接続検知装置において、
前記第1送信パケット数および前記第1受信パケット数は、前記複数の通信機器各々においてそれぞれカウントされ、
前記取得部は、前記複数の通信機器各々でカウントされた前記第1送信パケット数および前記第1受信パケット数を、前記ネットワークを介して前記複数の通信機器各々から取得する
ことを特徴とする不正接続検知装置。
【請求項4】
請求項1から3のいずれか1項に記載の不正接続検知装置において、
前記ネットワーク内でユニキャスト通信により自装置が送信したパケットの数を示す第3送信パケット数および受信したパケットの数を示す第3受信パケット数をカウントするように構成された第3パケットカウンタをさらに備え、
前記集計部は、前記第1送信パケット数、前記第1受信パケット数、前記第3送信パケット数、および前記第3受信パケット数に基づいて、前記ネットワーク内でユニキャスト通信により送信されたパケットの総数および受信されたパケットの総数を示す前記第2送信パケット数および前記第2受信パケット数を集計する
ことを特徴とする不正接続検知装置。
【請求項5】
請求項1から4のいずれか1項に記載の不正接続検知装置において、
前記判断部による判断結果を表示画面に表示する表示装置をさらに備えることを特徴とする不正接続検知装置。
【請求項6】
請求項1から5のいずれか1項に記載の不正接続検知装置において、
前記複数の通信機器各々の識別情報を記憶するように構成された記憶部をさらに備え、
前記取得部は、前記識別情報を有する前記複数の通信機器各々の前記第1送信パケット数および前記第1受信パケット数を取得する
ことを特徴とする不正接続検知装置。
【請求項7】
請求項1から6のいずれか1項に記載の不正接続検知装置において、
前記ネットワークは、ビルディングオードメーションシステムに設けられたネットワークを含むことを特徴とする不正接続検知装置。
【請求項8】
ネットワークへの接続が許可されている複数の通信機器と、
前記複数の通信機器と前記ネットワークを介して接続されている不正接続検知装置と
を備え、
前記複数の通信機器各々は、
前記ネットワーク内でユニキャスト通信により送信したパケットの数を示す第1送信パケット数および受信したパケットの数を示す第1受信パケット数をカウントするように構成された第1パケットカウンタと、
前記第1パケットカウンタによってカウントされた前記第1送信パケット数および前記第1受信パケット数を記憶するように構成された記憶部と
を有し、
前記不正接続検知装置は、
前記第1送信パケット数および前記第1受信パケット数を前記ネットワークを介して前記複数の通信機器各々から取得するように構成された取得部と、
取得された前記複数の通信機器各々の前記第1送信パケット数および前記第1受信パケット数から、前記ネットワーク内で前記複数の通信機器がユニキャスト通信により送信したパケットの総数を示す第2送信パケット数および受信したパケットの総数を示す第2受信パケット数を集計するように構成された集計部と、
集計された前記第2送信パケット数と前記第2受信パケット数とを比較して、前記第2送信パケット数と前記第2受信パケット数とが異なる場合に、前記ネットワークにおいて不正接続が発生したと判断するように構成された判断部と
を備える不正接続検知システム。
【請求項9】
ネットワークへの接続が許可されている複数の通信機器各々がユニキャスト通信により前記ネットワーク内で送信したパケットの数を示す第1送信パケット数および受信したパケットの数を示す第1受信パケット数を取得する第1ステップと、
前記第1ステップで取得された前記複数の通信機器各々の前記第1送信パケット数および前記第1受信パケット数から、前記ネットワーク内で前記複数の通信機器がユニキャスト通信により送信したパケットの総数を示す第2送信パケット数および受信したパケットの総数を示す第2受信パケット数を集計する第2ステップと、
前記第2ステップで集計された前記第2送信パケット数と前記第2受信パケット数とを比較して、前記第2送信パケット数と前記第2受信パケット数とが異なる場合に、前記ネットワークにおいて不正接続が発生したと判断する第3ステップと
を備える不正接続検知方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、不正接続検知装置、不正接続検知システム、および不正接続検知方法に関する。
【背景技術】
【0002】
従来から、ビル建物に設置されている各種設備を管理する設備管理システムが知られている。従来の設備管理システムは、設備ごとに独立したシステム構成であり、また、設備管理システムの制御ネットワークが非IPなどであるクローズドなネットワーク環境に適用されていた。
【0003】
近年、IoTの活用や他のシステムとの連携が進み、従来の設備管理システムは外部からアクセス可能なオープンなネットワーク環境に変わりつつある。例えば、BACnet(Building Automation and Control Networking Protocol:登録商標)と呼ばれるインテリジェントビル用ネットワークのための通信プロトコル規格を利用した、いわゆるBACnetシステムが普及しつつある。
【0004】
例えば、特許文献1は、設備に設けられているフィールド機器からデータを収集するコントローラと、コントローラがBACnetなどの通信ネットワークを介して複数接続され、フィールド機器からのデータによって設備に関する情報を表示する中央監視装置とを有する中央監視システムを開示している。
【0005】
このように、従来のクローズドなネットワーク環境で運用されていた設備管理システムにおいて、オープンな通信プロトコルが採用されるようになったことで、外部からの不正アクセスなどへの対策が求められている。例えば、悪意のある第三者が何らかの方法で設備管理システムのネットワークに不正アクセスした場合に、セキュリティ対策が十分でない場合には、不正にシステムが操作される可能性もある。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2007−199798号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
本発明は、上述した課題を解決するためになされたものであり、より簡易な構成でネットワークにおける不正接続を検知することを目的とする。
【課題を解決するための手段】
【0008】
上述した課題を解決するために、本発明に係る不正接続検知装置は、ネットワークへの接続が許可されている複数の通信機器各々がユニキャスト通信により前記ネットワーク内で送信したパケットの数を示す第1送信パケット数および受信したパケットの数を示す第1受信パケット数を取得するように構成された取得部と、取得された前記複数の通信機器各々の前記第1送信パケット数および前記第1受信パケット数から、前記ネットワーク内で前記複数の通信機器がユニキャスト通信により送信したパケットの総数を示す第2送信パケット数および受信したパケットの総数を示す第2受信パケット数を集計するように構成された集計部と、集計された前記第2送信パケット数と前記第2受信パケット数とを比較して、前記第2送信パケット数と前記第2受信パケット数とが異なる場合に、前記ネットワークにおいて不正接続が発生したと判断するように構成された判断部とを備える。
【0009】
また、本発明に係る不正接続検知装置において、前記判断部は、前記第2送信パケット数が前記第2受信パケット数よりも少ない場合に、前記ネットワークにおいて不正接続が発生したと判断してもよい。
【0010】
また、本発明に係る不正接続検知装置において、前記第1送信パケット数および前記第1受信パケット数は、前記複数の通信機器各々においてそれぞれカウントされ、前記取得部は、前記複数の通信機器各々でカウントされた前記第1送信パケット数および前記第1受信パケット数を、前記ネットワークを介して前記複数の通信機器各々から取得してもよい。
【0011】
また、本発明に係る不正接続検知装置において、前記ネットワーク内でユニキャスト通信により自装置が送信したパケットの数を示す第3送信パケット数および受信したパケットの数を示す第3受信パケット数をカウントするように構成された第3パケットカウンタをさらに備え、前記集計部は、前記第1送信パケット数、前記第1受信パケット数、前記第3送信パケット数、および前記第3受信パケット数に基づいて、前記ネットワーク内でユニキャスト通信により送信されたパケットの総数および受信されたパケットの総数を示す前記第2送信パケット数および前記第2受信パケット数を集計してもよい。
【0012】
また、本発明に係る不正接続検知装置において、前記判断部による判断結果を表示画面に表示する表示装置をさらに備えていてもよい。
【0013】
また、本発明に係る不正接続検知装置において、前記複数の通信機器各々の識別情報を記憶するように構成された記憶部をさらに備え、前記取得部は、前記識別情報を有する前記複数の通信機器各々の前記第1送信パケット数および前記第1受信パケット数を取得してもよい。
【0014】
また、本発明に係る不正接続検知装置において、前記ネットワークは、ビルディングオードメーションシステムに設けられたネットワークを含んでいてもよい。
【0015】
上述した課題を解決するために、本発明に係る不正接続検知システムは、ネットワークへの接続が許可されている複数の通信機器と、前記複数の通信機器と前記ネットワークを介して接続されている不正接続検知装置とを備え、前記複数の通信機器各々は、前記ネットワーク内でユニキャスト通信により送信したパケットの数を示す第1送信パケット数および受信したパケットの数を示す第1受信パケット数をカウントするように構成された第1パケットカウンタと、前記第1パケットカウンタによってカウントされた前記第1送信パケット数および前記第1受信パケット数を記憶するように構成された記憶部とを有し、前記不正接続検知装置は、前記第1送信パケット数および前記第1受信パケット数を前記ネットワークを介して前記複数の通信機器各々から取得するように構成された取得部と、取得された前記複数の通信機器各々の前記第1送信パケット数および前記第1受信パケット数から、前記ネットワーク内で前記複数の通信機器がユニキャスト通信により送信したパケットの総数を示す第2送信パケット数および受信したパケットの総数を示す第2受信パケット数を集計するように構成された集計部と、集計された前記第2送信パケット数と前記第2受信パケット数とを比較して、前記第2送信パケット数と前記第2受信パケット数とが異なる場合に、前記ネットワークにおいて不正接続が発生したと判断するように構成された判断部とを備える。
【0016】
上述した課題を解決するために、本発明に係る不正接続検知方法は、ネットワークへの接続が許可されている複数の通信機器各々がユニキャスト通信により前記ネットワーク内で送信したパケットの数を示す第1送信パケット数および受信したパケットの数を示す第1受信パケット数を取得する第1ステップと、前記第1ステップで取得された前記複数の通信機器各々の前記第1送信パケット数および前記第1受信パケット数から、前記ネットワーク内で前記複数の通信機器がユニキャスト通信により送信したパケットの総数を示す第2送信パケット数および受信したパケットの総数を示す第2受信パケット数を集計する第2ステップと、前記第2ステップで集計された前記第2送信パケット数と前記第2受信パケット数とを比較して、前記第2送信パケット数と前記第2受信パケット数とが異なる場合に、前記ネットワークにおいて不正接続が発生したと判断する第3ステップとを備える。
【発明の効果】
【0017】
本発明によれば、ネットワーク内でユニキャスト通信により複数の通信機器により送信されたパケットの総数を示す第2送信パケット数および受信されたパケットの総数を示す第2受信パケット数を集計し、集計された第2送信パケット数と第2受信パケット数とを比較し、第2送信パケット数と第2受信パケット数とが異なる場合に、ネットワークにおいて不正接続が発生したと判断する。そのため、より簡易な構成によりネットワークにおける不正接続を検知することができる。
【図面の簡単な説明】
【0018】
図1図1は、本発明の第1の実施の形態に係る不正接続検知システムの構成を示すブロック図である。
図2図2は、第1の実施の形態に係る不正接続検知装置の構成を示すブロック図である。
図3図3は、第1の実施の形態に係る不正接続検知装置のハードウェア構成の一例を示すブロック図である。
図4図4は、第1の実施の形態に係るコントローラの構成を示すブロック図である。
図5図5は、第1の実施の形態に係るコントローラのハードウェア構成の一例を示すブロック図である。
図6図6は、第1の実施の形態に係る不正接続検知装置の動作を説明するためのフローチャートである。
図7図7は、第1の実施の形態に係る不正接続検知システムの動作を説明するための図である。
図8図8は、第1の実施の形態に係る不正接続検知システムの動作を説明するための図である。
図9図9は、第2の実施の形態に係る不正接続検知装置の構成を示すブロック図である。
図10図10は、第2の実施の形態に係る不正接続検知装置の動作を説明するためのフローチャートである。
図11図11は、第2の実施の形態に係る不正接続検知システムの動作を説明するための図である。
図12図12は、第2の実施の形態に係る不正接続検知システムの動作を説明するための図である。
【発明を実施するための形態】
【0019】
以下、本発明の好適な実施の形態について、図1から図12を参照して詳細に説明する。
【0020】
[第1の実施の形態]
はじめに、本発明の第1の実施の形態に係る不正接続検知装置1について説明する。
【0021】
[不正接続検知システムの構成]
まず、本発明の実施の形態に係る不正接続検知装置1を備える不正接続検知システムの概要について説明する。図1に示すように、不正接続検知システムは不正接続検知装置1と、ネットワークNWへの接続が許可された複数のコントローラ(通信機器)2a、2b、2cとを備える。不正接続検知装置1とコントローラ2a、2b、2cとは、例えば、BACnetプロトコルなどの通信プロトコルを用いてネットワークNWを介した通信を行うことができる。また、不正接続検知システムは、例えば、BA(Building Automation)システムなどに設けられる。
【0022】
コントローラ2a、2b、2cは、BACnetプロトコルなどのオープン規格に対応したコントローラである。例えば、コントローラ2a、2b、2cの各々は、設備に設置された図示されない各種センサなどに接続されている。以下において、コントローラ2a、2b、2cを総称してコントローラ2ということがある。
【0023】
本発明の実施の形態では、予め許可されている通信機器のみがネットワークNWに接続する状況を仮定する。そのため、ネットワークNW全体で一対一のユニキャストで送信されたパケット数と、受信されたパケット数とは通常は一致するといえる。このことから、本実施の形態に係る不正接続検知装置1は、コントローラ2がユニキャスト通信により送受信したネットワークNW全体での送信パケット数および受信パケット数を集計し、集計された送信パケット数の総和と受信パケット数の総和とを比較してネットワークNWにおける不正アクセスの発生を検知する。
【0024】
[不正接続検知装置の機能ブロック]
次に、本実施の形態に係る不正接続検知装置1の機能構成について、図2のブロック図を参照して説明する。
【0025】
不正接続検知装置1は、送受信部10、取得部11、集計部12、判断部13、および記憶部14を備える。
【0026】
送受信部10は、通信インターフェースであり、自装置と、ネットワークNWを介して接続されているコントローラ2a、2b、2cとの間でやり取りされるパケットを送受信する。なお、本実施の形態では、不正接続検知装置1は、コントローラ2とは、一対一のユニキャスト通信は行わず、マルチキャスト通信やブロードキャスト通信を行う場合を仮定する。
【0027】
取得部11は、複数のコントローラ2各々がユニキャスト通信によりネットワークNW内で送信したパケットの数を示す送信パケット数S(第1送信パケット数)および受信したパケットの数を示す受信パケット数R(第1受信パケット数)を取得する。例えば、取得部11は、10分ごとなど任意に設定された周期で、コントローラ2a、2b、2cにおいてそれぞれカウントされている送信パケット数S2a、S2b、S2cおよび受信パケット数R2a、R2b、R2cをネットワークNWを介してコントローラ2a、2b、2cから取得することができる。
【0028】
取得部11は、例えば、複数のコントローラ2に対してマルチキャストで要求パケットを送受信部10を介して送信して、コントローラ2各々から送信パケット数および受信パケット数を取得することができる。このとき取得部11は、記憶部14に記憶されているネットワークNWへの接続が許可されているコントローラ2の識別情報に基づいて、送信パケット数および受信パケット数を取得することができる。
【0029】
なお、複数のコントローラ2各々では、例えば、ヘッダに示された宛先が一つのみのユニキャストパケットのみがカウントされる。
【0030】
集計部12は、取得部11が取得したコントローラ2a、2b、2cごとの送信パケット数S2a、S2b、S2cおよび受信パケット数R2a、R2b、R2cから、監視対象のネットワークNW内でユニキャスト通信により送信されたパケットの数の総数および受信されたパケットの数の総数を示す送信パケット数(第2送信パケット数)SNWおよび受信パケット数(第2受信パケット数)RNWを集計する。
【0031】
より詳細には、集計部12は、各コントローラ2a、2b、2cでユニキャストにより送信された送信パケット数S2a、S2b、S2cの総和から、監視対象のネットワークNW全体においてユニキャストで送信された送信パケット数SNW(SNW=S2a+S2b+S2c)を求める。
【0032】
また、集計部12は、各コントローラ2a、2b、2cでユニキャストにより受信された受信パケット数R2a、R2b、R2cの総和から、監視対象のネットワークNW全体においてユニキャストで受信された受信パケット数RNW(RNW=R2a+R2b+R2c)を求める。
【0033】
判断部13は、集計部12によって集計されたネットワークNW全体でユニキャストで送信された送信パケット数SNWと受信された受信パケット数RNWとを比較する。判断部13は、送信パケット数SNWと受信パケット数RNWとが異なる場合に、監視対象のネットワークNWにおいて不正接続が発生したと判断する。具体的には、判断部13は、送信パケット数SNWが受信パケット数RNWよりも少ない場合には、不正接続が発生したと判断することができる。
【0034】
例えば、ネットワークNWに接続されているコントローラ2が外部から不正アクセスを受け、コントローラ2の情報が不正に取得され得るような状況では、攻撃者は攻撃対象のコントローラ2に対して何かしらの調査パケットをユニキャストで送信する場合がある。しかし、コントローラ2は、このような不正アクセスによる全ての調査パケットに対して応答するわけではない。
【0035】
ネットワークNWへの不正アクセスによる調査パケットがネットワークNWを流れる場合には、監視対象のネットワークNW全体でのユニキャストによる送信パケット数SNWと受信パケット数RNWとは一致しないことになる。このことから、監視対象のネットワークNWへの接続が許可されていない不正端末などによる侵入があったことが検知される。
【0036】
記憶部14は、ネットワークNWに接続されているコントローラ2a、2b、2cを識別する情報、例えば、MACアドレスなどを予め記憶している。すなわち、記憶部15には、ネットワークNWへの接続が許可されている正規端末の情報が事前に登録されている。
【0037】
[不正接続検知装置のハードウェア構成]
次に上述した機能を有する不正接続検知装置1のハードウェア構成の一例について、図3を用いて説明する。
【0038】
図3に示すように、不正接続検知装置1は、例えば、バス101を介して接続されるプロセッサ102、主記憶装置103、通信インターフェース104、補助記憶装置105、入出力I/O106を備えるコンピュータと、これらのハードウェア資源を制御するプログラムによって実現することができる。
【0039】
主記憶装置103には、プロセッサ102が各種制御や演算を行うためのプログラムが予め格納されている。プロセッサ102と主記憶装置103とによって、図2に示した取得部11、集計部12、判断部13など、不正接続検知装置1の各機能が実現される。
【0040】
通信インターフェース104は、不正接続検知装置1とコントローラ2a、2b、2cや各種外部電子機器との間をネットワーク接続するためのインターフェース回路である。通信インターフェース104により、図2で説明した送受信部10が実現される。また、通信インターフェース104からネットワークNW上の図示されない特定のサーバなどに対して、検知された不正接続に関する情報を送出することができる。
【0041】
補助記憶装置105は、読み書き可能な記憶媒体と、その記憶媒体に対してプログラムやデータなどの各種情報を読み書きするための駆動装置とで構成されている。補助記憶装置105には、記憶媒体としてハードディスクやフラッシュメモリなどの半導体メモリを使用することができる。
【0042】
補助記憶装置105は、不正接続検知装置1が、ネットワークNWへの不正接続を検知するための不正接続検知プログラムを格納するプログラム格納領域を有する。補助記憶装置105によって、図2で説明した記憶部14が実現される。さらには、例えば、上述したデータやプログラムやなどをバックアップするためのバックアップ領域などを有していてもよい。
【0043】
入出力I/O106は、外部機器からの信号を入力したり、外部機器へ信号を出力したりするI/O端子により構成される。
【0044】
入力装置107は、キーボードやタッチパネルなどで構成され、操作入力を受け付けて対応する信号を生成する。例えば、入力装置107は、ネットワークNWへの接続が許可されたコントローラ2a、2b、2cの識別情報を受け付ける。
【0045】
表示装置108は、液晶ディスプレイなどによって構成される。表示装置108は、判断部13による判断結果を表示画面に表示することができる。
【0046】
[コントローラの機能ブロック]
次に、本実施の形態に係るコントローラ2a、2b、2cの構成例を図4のブロック図を参照して説明する。なお、複数のコントローラ2a、2b、2cはそれぞれ同様の構成を有し、図5では、総称してコントローラ2と記載している。
【0047】
コントローラ2は、送受信部20、パケットカウンタ(第1パケットカウンタ)21、および記憶部22を備える。
【0048】
送受信部20は、通信インターフェースであり、ネットワークNWを介して不正接続検知装置1などとやり取りされるパケットを送受信する。また、送受信部20は、コントローラ2がユニキャストで送信した送信パケット数Sおよび受信した受信パケット数Rを不正接続検知装置1からの要求に応じて返信する。
【0049】
パケットカウンタ21は、自装置がユニキャストでネットワークNW内で送信した送信パケット数Sおよび受信した受信パケット数Rをカウントする。パケットカウンタ21は、送信パケットおよび受信パケットのヘッダ情報により宛先が1つのみのユニキャストパケットをカウントすることができる。
【0050】
記憶部22は、パケットカウンタ21がカウントした送信パケット数Sおよび受信パケット数Rを記憶する。
【0051】
[コントローラのハードウェア構成]
次に上述した機能を有するコントローラ2のハードウェア構成の一例について、図5を用いて説明する。
【0052】
図5に示すように、コントローラ2は、例えば、バス201を介して接続されるプロセッサ202、主記憶装置203、通信インターフェース204、補助記憶装置205、入出力I/O206を備えるコンピュータと、これらのハードウェア資源を制御するプログラムによって実現することができる。
【0053】
主記憶装置203には、プロセッサ202が各種制御や演算を行うためのプログラムが予め格納されている。プロセッサ202と主記憶装置203とによって、図4に示したパケットカウンタ21など、コントローラ2が備える各機能が実現される。
【0054】
通信インターフェース204は、コントローラ2と不正接続検知装置1や各種外部電子機器との間をネットワーク接続するためのインターフェース回路である。通信インターフェース204により、図4で説明した送受信部20が実現される。
【0055】
補助記憶装置205は、読み書き可能な記憶媒体と、その記憶媒体に対してプログラムやデータなどの各種情報を読み書きするための駆動装置とで構成されている。補助記憶装置205には、記憶媒体としてハードディスクやフラッシュメモリなどの半導体メモリを使用することができる。
【0056】
補助記憶装置205は、コントローラ2がユニキャストで送受信したパケットをカウントするためのプログラムを格納するプログラム格納領域を有する。補助記憶装置205によって、図4で説明した記憶部22が実現される。さらには、例えば、上述したデータやプログラムやなどをバックアップするためのバックアップ領域などを有していてもよい。
【0057】
入出力I/O206は、外部機器からの信号を入力したり、外部機器へ信号を出力したりするI/O端子により構成される。例えば、入出力I/O206を介してコントローラ2が制御や管理を行うセンサなどの図示されない機器と接続されている。
【0058】
入力装置207は、物理キーやタッチパネルなどで構成され、操作入力を受け付けて対応する信号を生成する。
【0059】
表示装置208は、液晶ディスプレイなどによって構成される。
【0060】
[不正接続検知装置の動作]
次に、上述した構成を有する不正接続検知装置1の動作および不正接続検知システムの動作について、図6から図8を参照して説明する。以下において、記憶部14には、事前にネットワークNWへの接続が許可されているコントローラ2a、2b、2cの識別情報が記憶されている。
【0061】
まず、取得部11は、コントローラ2a、2b、2cがユニキャストによりネットワークNW内で送受信した送信パケット数S2a、S2b、S2c、および受信パケット数R2a、R2b、R2cを、コントローラ2a、2b、2c各々から取得する(ステップS1)。
【0062】
例えば、取得部11は、10分周期などの周期で、ネットワークNW上のコントローラ2a、2b、2cから送信パケット数S2a、S2b、S2c、および受信パケット数R2a、R2b、R2cを取得する。
【0063】
次に、集計部12は、ネットワークNW内でユニキャストで送信された送信パケット数の総和および受信された受信パケット数の総数を集計する(ステップS2)。より具体的には、集計部12は、ステップS1で取得されたコントローラ2a、2b、2cの送信パケット数S2a、S2b、S2c、および受信パケット数R2a、R2b、R2cそれぞれの総和(送信パケット数SNWおよび受信パケット数RNW)を計算する。
【0064】
次に、判断部13は、ステップS2で集計されたネットワークNW全体でのユニキャストによる送信パケット数SNWと受信パケット数RNWとを比較し、送信パケット数SNWと受信パケット数RNWとが異なる場合において(ステップS3:NO)、送信パケット数SNWが受信パケット数RNWよりも少ない場合には(ステップS4:YES)、不正接続が発生したと判断する(ステップS5)。
【0065】
その後、表示装置108は、表示画面に、不正接続が発生したことを示す情報を表示する(ステップS6)。なお、ステップS4において、送信パケット数SNWが受信パケット数RNWよりも多い場合には(ステップS4:NO)、表示装置108は、送信パケット数SNWが受信パケット数RNWよりも多いことを示す情報を表示画面に表示することができる(ステップS6)。送信パケット数SNWが受信パケット数RNWよりも多い場合には、送信されたはずのパケットが受信されていない状況が生じており、通信の異常が発生している可能性があるため、通知情報として表示画面に表示することができる。
【0066】
なお、ステップS3において、集計された送信パケット数SNWと受信パケット数RNWとが一致する場合には(ステップS3:YES)、不正接続は発生していないとして、処理を終了する。
【0067】
例えば、図7の例では、ネットワークNW全体での送信パケット数SNWは、100である(SNW=S2a+S2b+S2c=20+50+30=100)。一方、ネットワークNW全体での受信パケット数RNWについても100である(RNW=R2a+R2b+R2c=30+20+50=100)。システム全体では送信パケット数と受信パケット数が一致している。
【0068】
図8は、ネットワークNWへの接続が許可されていない不正端末が不正接続を行う場合を例示している。図8に示すように、不正端末は、コントローラ2cから不正に情報を取得しようとして、コントローラ2cに対して複数の調査パケットをユニキャストで送信している。
【0069】
不正端末からの調査パケットを受信したコントローラ2cは、不正端末に対して返信パケットを送信する場合もあるが、返信しない場合もある。コントローラ2cが返信パケットを送信しない場合には、パケットカウンタ21は、受信パケット数のみをカウントアップすることになる。
【0070】
図8に示す状況において、監視対象のネットワークNW全体での送信パケット数SNWは、100である(SNW=S2a+S2b+S2c=20+50+30=100)。一方、ネットワークNW全体での受信パケット数RNWは、250である(RNW=R2a+R2b+R2c=30+20+200=250)。システム全体では送信パケット数と受信パケット数とが一致しておらず、[送信パケット数SNW<受信パケット数RNW]となっている。
【0071】
図8の例において、不正接続検知装置1は、ネットワークNWにおいて不正接続が発生していると判断する。
【0072】
以上説明したように、第1の実施の形態によれば、ユニキャスト通信によりネットワークNW内でコントローラ2各々が送信した送信パケット数および受信した受信パケット数の総和を集計する。そして、送信パケット数の総和と受信パケット数の総和とが一致しない場合、すなわち、送信パケット数が受信パケット数よりも少ない場合に不正接続が発生したと判断する。そのため、より簡易な構成でネットワークNWに発生する不正接続を検知することができる。
【0073】
[第2の実施の形態]
次に、本発明の第2の実施の形態について説明する。なお、以下の説明では、上述した第1の実施の形態と同じ構成については同一の符号を付し、その説明を省略する。
【0074】
第1の実施の形態では、不正接続検知装置1がユニキャスト通信を行わない場合を例示して説明した。これに対し、第2の実施の形態では、不正接続検知装置1Aは、ネットワークNW内で、ユニキャスト通信を行う。例えば、不正接続検知装置1Aは、ネットワークNWを介して接続されているコントローラ2a、2b、2cとの一対一のユニキャスト通信を行うことができる場合を仮定する。
【0075】
図9は、第2の実施の形態に係る不正接続検知装置1Aの構成を示すブロック図である。不正接続検知装置1Aは、パケットカウンタ(第3パケットカウンタ)15を備える点で、第1の実施の形態の構成とは異なる。また、本実施の形態に係るコントローラ2a、2b、2cの構成は第1の実施の形態と同様である。
【0076】
[不正接続検知装置の機能ブロック]
図9に示すように、不正接続検知装置1Aは、送受信部10、取得部11、集計部12、判断部13、記憶部14、およびパケットカウンタ15を備える。パケットカウンタ15以外の構成については、第1の実施の形態と同様である。
【0077】
パケットカウンタ15は、ネットワークNW内でユニキャスト通信により自装置が送信したパケット数を示す送信パケット数S(第3送信パケット数)および受信したパケット数を示す受信パケット数R(第3受信パケット数)をカウントする。パケットカウンタ15によってカウントされた送信パケット数S,および受信パケット数Rは、記憶部15に記憶される。
【0078】
集計部12は、取得部11によって取得された、コントローラ2a、2b、2c各々がユニキャストで送信した送信パケット数S2a、S2b、S2c、および受信した受信パケット数R2a、R2b、R2c、ならびにパケットカウンタ15によってカウントされた不正接続検知装置1Aがユニキャストで送信した送信パケット数Sおよび受信した受信パケット数Rに基づいて、ネットワークNW全体でのユニキャストによる送信パケット数の総和SNWおよび受信パケット数の総和RNWを集計する。
【0079】
判断部13は、集計部12によって集計された送信パケット数の総和SNWと受信パケット数の総和RNWとを比較して、送信パケット数SNWと受信パケット数RNWとが異なる場合、例えば、送信パケット数SNWが受信パケット数RNWよりも少ない場合に、ネットワークNWにおいて不正接続が発生したと判断する。
【0080】
[不正接続検知装置の動作]
次に、本実施の形態に係る不正接続検知装置1Aの動作および不正接続検知システムの動作について図10から図12を参照して説明する。なお、記憶部14には、事前にネットワークNWへの接続が許可されているコントローラ2a、2b、2cの識別情報が記憶されている。
【0081】
まず、パケットカウンタ15は、自装置がユニキャストによりネットワークNW内で送信した送信パケット数S、および受信した受信パケット数Rをカウントする(ステップS100)。パケットカウンタ15によってカウントされたパケット数は、記憶部14に記憶される。
【0082】
次に、取得部11は、コントローラ2a、2b、2cがユニキャストによりネットワークNW内で送受信した送信パケット数S2a、S2b、S2c、および受信パケット数R2a、R2b、R2cを、コントローラ2a、2b、2c各々から取得する(ステップS1)。
【0083】
次に、集計部12は、ネットワークNW内でユニキャストにより送信された送信パケット数の総和および受信された受信パケット数の総数を集計する(ステップS2)。より具体的には、集計部12は、ステップS100でカウントされた自装置がユニキャストで送信した送信パケット数Sおよび受信した受信パケット数R、ならびに、ステップS1で取得されたコントローラ2a、2b、2cの送信パケット数S2a、S2b、S2c、および受信パケット数R2a、R2b、R2cの総和(送信パケット数SNWおよび受信パケット数RNW)を計算する。
【0084】
次に、判断部13は、ステップS2で集計されたネットワークNW全体でのユニキャストによる送信パケット数SNWと受信パケット数RNWとを比較し、送信パケット数SNWと受信パケット数RNWとが異なる場合において(ステップS3:NO)、送信パケット数SNWが受信パケット数RNWよりも少ない場合には(ステップS4:YES)、不正接続が発生したと判断する(ステップS5)。
【0085】
その後、表示装置108は、表示画面に、不正接続が発生したことを示す情報を表示する(ステップS6)。なお、ステップS4において、送信パケット数SNWが受信パケット数RNWよりも多い場合には(ステップS4:NO)、表示装置108は、送信パケット数SNWが受信パケット数RNWよりも多いことを示す情報を表示画面に表示することができる(ステップS6)。
【0086】
なお、ステップS3において、集計された送信パケット数SNWと受信パケット数RNWとが一致する場合には(ステップS3:YES)、不正接続は発生していないとして、処理は終了する。
【0087】
例えば、図11の例では、ネットワークNW全体での送信パケット数SNWは、150である(SNW=S+S2a+S2b+S2c=50+20+50+30=150)。一方、ネットワークNW全体での受信パケット数RNWについても150である(RNW=R+R2a+R2b+R2c=50+30+20+50=150)。システム全体では送信パケット数と受信パケット数が一致している。
【0088】
図12は、ネットワークNWへの接続が許可されていない不正端末が不正接続を行う場合を例示している。図12に示すように、不正端末は、コントローラ2cから不正に情報を取得しようとして、コントローラ2cに対して複数の調査パケットをユニキャストで送信している。
【0089】
図12に示す状況において、監視対象のネットワークNW全体での送信パケット数SNWは、150である(SNW=S+S2a+S2b+S2c=50+20+50+30=150)。一方、ネットワークNW全体での受信パケット数RNWは、300である(RNW=R+R2a+R2b+R2c=50+30+20+200=300)。システム全体では送信および受信されたパケットの数が一致しておらず、[送信パケット数SNW<受信パケット数RNW]となっている。
【0090】
図12の例において、不正接続検知装置1Aは、ネットワークNWにおいて不正接続が発生していると判断する。
【0091】
以上説明したように、第2の実施の形態によれば、不正接続検知装置1Aがユニキャストによるパケットを送受信する場合においても、ネットワークNW内でユニキャストで送受信されたパケット数の総和を集計する。そして、送信パケット数と受信パケット数とが一致しない場合、すなわち、送信パケット数が受信パケット数よりも少ない場合に不正接続が発生したと判断する。そのため、より簡易な構成でネットワークNWに発生する不正接続を検知することができる。
【0092】
なお、説明した実施の形態では、不正接続検知装置1、1Aがコントローラ2a、2b、2c各々からネットワークNWを介して各コントローラ2でカウントされた送信パケット数および受信パケット数を一定周期で取得する場合について説明した。しかし、不正接続検知装置1、1Aは、例えば、パケットキャプチャなどによりネットワークNW上を流れるユニキャスト通信によるパケットを監視して、送信パケット数および受信パケット数を取得する構成とすることもできる。
【0093】
以上、本発明の不正接続検知装置、不正接続検知システム、および不正接続検知方法における実施の形態について説明したが、本発明は説明した実施の形態に限定されるものではなく、請求項に記載した発明の範囲において当業者が想定し得る各種の変形を行うことが可能である。
【符号の説明】
【0094】
1…不正接続検知装置、2、2a、2b、2c…コントローラ、10、20…送受信部、11…取得部、12…集計部、13…判断部、14、22…記憶部、15、21…パケットカウンタ、101、201…バス、102、202…プロセッサ、103、203…主記憶装置、104、204…通信インターフェース、105、205…補助記憶装置、106、206…入出力I/O、107、207…入力装置、108、208…表示装置、NW…ネットワーク。
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12