特開 2021-72586 不正接続検知装置、不正接続検知システム、および不正接続検知方法

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】公開特許公報(A)

(11)【公開番号】特開2021-72586(P2021-72586A)

(43)【公開日】2021年5月6日

(54)【発明の名称】不正接続検知装置、不正接続検知システム、および不正接続検知方法

(51)【国際特許分類】

   H04L 12/28 20060101AFI20210409BHJP

   H04L 12/70 20130101ALI20210409BHJP

   G06F 13/00 20060101ALI20210409BHJP

【ＦＩ】

   H04L12/28 200M

   H04L12/70 100Z

   G06F13/00 351Z

【審査請求】未請求

【請求項の数】9

【出願形態】ＯＬ

【全頁数】16

(21)【出願番号】特願2019-199640(P2019-199640)

(22)【出願日】2019年11月1日

(71)【出願人】

【識別番号】000006666

【氏名又は名称】アズビル株式会社

(74)【代理人】

【識別番号】100098394

【弁理士】

【氏名又は名称】山川 茂樹

(74)【代理人】

【識別番号】100064621

【弁理士】

【氏名又は名称】山川 政樹

(72)【発明者】

【氏名】岡山 義孝

【テーマコード（参考）】

5B089

5K030

5K033

【Ｆターム（参考）】

5B089GA11

5B089GA21

5B089GB02

5B089JA35

5B089JB12

5B089JB16

5B089KA17

5B089MC02

5K030GA14

5K030JA10

5K030KA06

5K033AA06

5K033BA08

5K033DA01

5K033DB12

5K033DB20

5K033EA07

(57)【要約】

【課題】より簡易な構成でネットワークにおける不正接続を検知することを目的とする。
【解決手段】
不正接続検知装置１は、ネットワークＮＷへの接続が許可されているコントローラ２ａ、２ｂ、２ｃ各々がユニキャスト通信によりネットワークＮＷ内で送信した送信パケット数Ｓ_２ａ、Ｓ_２ｂ、Ｓ_２ｃおよび受信パケット数Ｒ_２ａ、Ｒ_２ｂ、Ｒ_２ｃを取得する取得部１１と、取得された送信パケット数Ｓ_２ａ、Ｓ_２ｂ、Ｓ_２ｃおよび受信パケット数Ｒ_２ａ、Ｒ_２ｂ、Ｒ_２ｃから、ネットワークＮＷ内でコントローラ２ａ、２ｂ、２ｃがユニキャスト通信により送信したパケットの総数を示す送信パケット数Ｓ_ＮＷおよび受信パケット数Ｒ_ＮＷを集計する集計部１２と、集計された送信パケット数Ｓ_ＮＷと受信パケット数Ｒ_ＮＷとが異なる場合に、ネットワークＮＷにおいて不正接続が発生したと判断する判断部１３とを備える。
【選択図】 図２

【特許請求の範囲】

【請求項1】

ネットワークへの接続が許可されている複数の通信機器各々がユニキャスト通信により前記ネットワーク内で送信したパケットの数を示す第１送信パケット数および受信したパケットの数を示す第１受信パケット数を取得するように構成された取得部と、
取得された前記複数の通信機器各々の前記第１送信パケット数および前記第１受信パケット数から、前記ネットワーク内で前記複数の通信機器がユニキャスト通信により送信したパケットの総数を示す第２送信パケット数および受信したパケットの総数を示す第２受信パケット数を集計するように構成された集計部と、
集計された前記第２送信パケット数と前記第２受信パケット数とを比較して、前記第２送信パケット数と前記第２受信パケット数とが異なる場合に、前記ネットワークにおいて不正接続が発生したと判断するように構成された判断部と
を備える不正接続検知装置。

【請求項2】

請求項１に記載の不正接続検知装置において、
前記判断部は、前記第２送信パケット数が前記第２受信パケット数よりも少ない場合に、前記ネットワークにおいて不正接続が発生したと判断する
ことを特徴とする不正接続検知装置。

【請求項3】

請求項１または請求項２に記載の不正接続検知装置において、
前記第１送信パケット数および前記第１受信パケット数は、前記複数の通信機器各々においてそれぞれカウントされ、
前記取得部は、前記複数の通信機器各々でカウントされた前記第１送信パケット数および前記第１受信パケット数を、前記ネットワークを介して前記複数の通信機器各々から取得する
ことを特徴とする不正接続検知装置。

【請求項4】

請求項１から３のいずれか１項に記載の不正接続検知装置において、
前記ネットワーク内でユニキャスト通信により自装置が送信したパケットの数を示す第３送信パケット数および受信したパケットの数を示す第３受信パケット数をカウントするように構成された第３パケットカウンタをさらに備え、
前記集計部は、前記第１送信パケット数、前記第１受信パケット数、前記第３送信パケット数、および前記第３受信パケット数に基づいて、前記ネットワーク内でユニキャスト通信により送信されたパケットの総数および受信されたパケットの総数を示す前記第２送信パケット数および前記第２受信パケット数を集計する
ことを特徴とする不正接続検知装置。

【請求項5】

請求項１から４のいずれか１項に記載の不正接続検知装置において、
前記判断部による判断結果を表示画面に表示する表示装置をさらに備えることを特徴とする不正接続検知装置。

【請求項6】

請求項１から５のいずれか１項に記載の不正接続検知装置において、
前記複数の通信機器各々の識別情報を記憶するように構成された記憶部をさらに備え、
前記取得部は、前記識別情報を有する前記複数の通信機器各々の前記第１送信パケット数および前記第１受信パケット数を取得する
ことを特徴とする不正接続検知装置。

【請求項7】

請求項１から６のいずれか１項に記載の不正接続検知装置において、
前記ネットワークは、ビルディングオードメーションシステムに設けられたネットワークを含むことを特徴とする不正接続検知装置。

【請求項8】

ネットワークへの接続が許可されている複数の通信機器と、
前記複数の通信機器と前記ネットワークを介して接続されている不正接続検知装置と
を備え、
前記複数の通信機器各々は、
前記ネットワーク内でユニキャスト通信により送信したパケットの数を示す第１送信パケット数および受信したパケットの数を示す第１受信パケット数をカウントするように構成された第１パケットカウンタと、
前記第１パケットカウンタによってカウントされた前記第１送信パケット数および前記第１受信パケット数を記憶するように構成された記憶部と
を有し、
前記不正接続検知装置は、
前記第１送信パケット数および前記第１受信パケット数を前記ネットワークを介して前記複数の通信機器各々から取得するように構成された取得部と、
取得された前記複数の通信機器各々の前記第１送信パケット数および前記第１受信パケット数から、前記ネットワーク内で前記複数の通信機器がユニキャスト通信により送信したパケットの総数を示す第２送信パケット数および受信したパケットの総数を示す第２受信パケット数を集計するように構成された集計部と、
集計された前記第２送信パケット数と前記第２受信パケット数とを比較して、前記第２送信パケット数と前記第２受信パケット数とが異なる場合に、前記ネットワークにおいて不正接続が発生したと判断するように構成された判断部と
を備える不正接続検知システム。

【請求項9】

ネットワークへの接続が許可されている複数の通信機器各々がユニキャスト通信により前記ネットワーク内で送信したパケットの数を示す第１送信パケット数および受信したパケットの数を示す第１受信パケット数を取得する第１ステップと、
前記第１ステップで取得された前記複数の通信機器各々の前記第１送信パケット数および前記第１受信パケット数から、前記ネットワーク内で前記複数の通信機器がユニキャスト通信により送信したパケットの総数を示す第２送信パケット数および受信したパケットの総数を示す第２受信パケット数を集計する第２ステップと、
前記第２ステップで集計された前記第２送信パケット数と前記第２受信パケット数とを比較して、前記第２送信パケット数と前記第２受信パケット数とが異なる場合に、前記ネットワークにおいて不正接続が発生したと判断する第３ステップと
を備える不正接続検知方法。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、不正接続検知装置、不正接続検知システム、および不正接続検知方法に関する。

【背景技術】

【0002】

従来から、ビル建物に設置されている各種設備を管理する設備管理システムが知られている。従来の設備管理システムは、設備ごとに独立したシステム構成であり、また、設備管理システムの制御ネットワークが非ＩＰなどであるクローズドなネットワーク環境に適用されていた。

【0003】

近年、ＩｏＴの活用や他のシステムとの連携が進み、従来の設備管理システムは外部からアクセス可能なオープンなネットワーク環境に変わりつつある。例えば、ＢＡＣｎｅｔ（Ｂｕｉｌｄｉｎｇ Ａｕｔｏｍａｔｉｏｎ ａｎｄ Ｃｏｎｔｒｏｌ Ｎｅｔｗｏｒｋｉｎｇ Ｐｒｏｔｏｃｏｌ：登録商標）と呼ばれるインテリジェントビル用ネットワークのための通信プロトコル規格を利用した、いわゆるＢＡＣｎｅｔシステムが普及しつつある。

【0004】

例えば、特許文献１は、設備に設けられているフィールド機器からデータを収集するコントローラと、コントローラがＢＡＣｎｅｔなどの通信ネットワークを介して複数接続され、フィールド機器からのデータによって設備に関する情報を表示する中央監視装置とを有する中央監視システムを開示している。

【0005】

このように、従来のクローズドなネットワーク環境で運用されていた設備管理システムにおいて、オープンな通信プロトコルが採用されるようになったことで、外部からの不正アクセスなどへの対策が求められている。例えば、悪意のある第三者が何らかの方法で設備管理システムのネットワークに不正アクセスした場合に、セキュリティ対策が十分でない場合には、不正にシステムが操作される可能性もある。

【先行技術文献】

【特許文献】

【0006】

【特許文献1】特開２００７−１９９７９８号公報

【発明の概要】

【発明が解決しようとする課題】

【0007】

本発明は、上述した課題を解決するためになされたものであり、より簡易な構成でネットワークにおける不正接続を検知することを目的とする。

【課題を解決するための手段】

【0008】

上述した課題を解決するために、本発明に係る不正接続検知装置は、ネットワークへの接続が許可されている複数の通信機器各々がユニキャスト通信により前記ネットワーク内で送信したパケットの数を示す第１送信パケット数および受信したパケットの数を示す第１受信パケット数を取得するように構成された取得部と、取得された前記複数の通信機器各々の前記第１送信パケット数および前記第１受信パケット数から、前記ネットワーク内で前記複数の通信機器がユニキャスト通信により送信したパケットの総数を示す第２送信パケット数および受信したパケットの総数を示す第２受信パケット数を集計するように構成された集計部と、集計された前記第２送信パケット数と前記第２受信パケット数とを比較して、前記第２送信パケット数と前記第２受信パケット数とが異なる場合に、前記ネットワークにおいて不正接続が発生したと判断するように構成された判断部とを備える。

【0009】

また、本発明に係る不正接続検知装置において、前記判断部は、前記第２送信パケット数が前記第２受信パケット数よりも少ない場合に、前記ネットワークにおいて不正接続が発生したと判断してもよい。

【0010】

また、本発明に係る不正接続検知装置において、前記第１送信パケット数および前記第１受信パケット数は、前記複数の通信機器各々においてそれぞれカウントされ、前記取得部は、前記複数の通信機器各々でカウントされた前記第１送信パケット数および前記第１受信パケット数を、前記ネットワークを介して前記複数の通信機器各々から取得してもよい。

【0011】

また、本発明に係る不正接続検知装置において、前記ネットワーク内でユニキャスト通信により自装置が送信したパケットの数を示す第３送信パケット数および受信したパケットの数を示す第３受信パケット数をカウントするように構成された第３パケットカウンタをさらに備え、前記集計部は、前記第１送信パケット数、前記第１受信パケット数、前記第３送信パケット数、および前記第３受信パケット数に基づいて、前記ネットワーク内でユニキャスト通信により送信されたパケットの総数および受信されたパケットの総数を示す前記第２送信パケット数および前記第２受信パケット数を集計してもよい。

【0012】

また、本発明に係る不正接続検知装置において、前記判断部による判断結果を表示画面に表示する表示装置をさらに備えていてもよい。

【0013】

また、本発明に係る不正接続検知装置において、前記複数の通信機器各々の識別情報を記憶するように構成された記憶部をさらに備え、前記取得部は、前記識別情報を有する前記複数の通信機器各々の前記第１送信パケット数および前記第１受信パケット数を取得してもよい。

【0014】

また、本発明に係る不正接続検知装置において、前記ネットワークは、ビルディングオードメーションシステムに設けられたネットワークを含んでいてもよい。

【0015】

上述した課題を解決するために、本発明に係る不正接続検知システムは、ネットワークへの接続が許可されている複数の通信機器と、前記複数の通信機器と前記ネットワークを介して接続されている不正接続検知装置とを備え、前記複数の通信機器各々は、前記ネットワーク内でユニキャスト通信により送信したパケットの数を示す第１送信パケット数および受信したパケットの数を示す第１受信パケット数をカウントするように構成された第１パケットカウンタと、前記第１パケットカウンタによってカウントされた前記第１送信パケット数および前記第１受信パケット数を記憶するように構成された記憶部とを有し、前記不正接続検知装置は、前記第１送信パケット数および前記第１受信パケット数を前記ネットワークを介して前記複数の通信機器各々から取得するように構成された取得部と、取得された前記複数の通信機器各々の前記第１送信パケット数および前記第１受信パケット数から、前記ネットワーク内で前記複数の通信機器がユニキャスト通信により送信したパケットの総数を示す第２送信パケット数および受信したパケットの総数を示す第２受信パケット数を集計するように構成された集計部と、集計された前記第２送信パケット数と前記第２受信パケット数とを比較して、前記第２送信パケット数と前記第２受信パケット数とが異なる場合に、前記ネットワークにおいて不正接続が発生したと判断するように構成された判断部とを備える。

【0016】

上述した課題を解決するために、本発明に係る不正接続検知方法は、ネットワークへの接続が許可されている複数の通信機器各々がユニキャスト通信により前記ネットワーク内で送信したパケットの数を示す第１送信パケット数および受信したパケットの数を示す第１受信パケット数を取得する第１ステップと、前記第１ステップで取得された前記複数の通信機器各々の前記第１送信パケット数および前記第１受信パケット数から、前記ネットワーク内で前記複数の通信機器がユニキャスト通信により送信したパケットの総数を示す第２送信パケット数および受信したパケットの総数を示す第２受信パケット数を集計する第２ステップと、前記第２ステップで集計された前記第２送信パケット数と前記第２受信パケット数とを比較して、前記第２送信パケット数と前記第２受信パケット数とが異なる場合に、前記ネットワークにおいて不正接続が発生したと判断する第３ステップとを備える。

【発明の効果】

【0017】

本発明によれば、ネットワーク内でユニキャスト通信により複数の通信機器により送信されたパケットの総数を示す第２送信パケット数および受信されたパケットの総数を示す第２受信パケット数を集計し、集計された第２送信パケット数と第２受信パケット数とを比較し、第２送信パケット数と第２受信パケット数とが異なる場合に、ネットワークにおいて不正接続が発生したと判断する。そのため、より簡易な構成によりネットワークにおける不正接続を検知することができる。

【図面の簡単な説明】

【0018】

【図1】図１は、本発明の第１の実施の形態に係る不正接続検知システムの構成を示すブロック図である。

【図2】図２は、第１の実施の形態に係る不正接続検知装置の構成を示すブロック図である。

【図3】図３は、第１の実施の形態に係る不正接続検知装置のハードウェア構成の一例を示すブロック図である。

【図4】図４は、第１の実施の形態に係るコントローラの構成を示すブロック図である。

【図5】図５は、第１の実施の形態に係るコントローラのハードウェア構成の一例を示すブロック図である。

【図6】図６は、第１の実施の形態に係る不正接続検知装置の動作を説明するためのフローチャートである。

【図7】図７は、第１の実施の形態に係る不正接続検知システムの動作を説明するための図である。

【図8】図８は、第１の実施の形態に係る不正接続検知システムの動作を説明するための図である。

【図9】図９は、第２の実施の形態に係る不正接続検知装置の構成を示すブロック図である。

【図10】図１０は、第２の実施の形態に係る不正接続検知装置の動作を説明するためのフローチャートである。

【図11】図１１は、第２の実施の形態に係る不正接続検知システムの動作を説明するための図である。

【図12】図１２は、第２の実施の形態に係る不正接続検知システムの動作を説明するための図である。

【発明を実施するための形態】

【0019】

以下、本発明の好適な実施の形態について、図１から図１２を参照して詳細に説明する。

【0020】

［第１の実施の形態］
はじめに、本発明の第１の実施の形態に係る不正接続検知装置１について説明する。

【0021】

［不正接続検知システムの構成］
まず、本発明の実施の形態に係る不正接続検知装置１を備える不正接続検知システムの概要について説明する。図１に示すように、不正接続検知システムは不正接続検知装置１と、ネットワークＮＷへの接続が許可された複数のコントローラ（通信機器）２ａ、２ｂ、２ｃとを備える。不正接続検知装置１とコントローラ２ａ、２ｂ、２ｃとは、例えば、ＢＡＣｎｅｔプロトコルなどの通信プロトコルを用いてネットワークＮＷを介した通信を行うことができる。また、不正接続検知システムは、例えば、ＢＡ（Ｂｕｉｌｄｉｎｇ Ａｕｔｏｍａｔｉｏｎ）システムなどに設けられる。

【0022】

コントローラ２ａ、２ｂ、２ｃは、ＢＡＣｎｅｔプロトコルなどのオープン規格に対応したコントローラである。例えば、コントローラ２ａ、２ｂ、２ｃの各々は、設備に設置された図示されない各種センサなどに接続されている。以下において、コントローラ２ａ、２ｂ、２ｃを総称してコントローラ２ということがある。

【0023】

本発明の実施の形態では、予め許可されている通信機器のみがネットワークＮＷに接続する状況を仮定する。そのため、ネットワークＮＷ全体で一対一のユニキャストで送信されたパケット数と、受信されたパケット数とは通常は一致するといえる。このことから、本実施の形態に係る不正接続検知装置１は、コントローラ２がユニキャスト通信により送受信したネットワークＮＷ全体での送信パケット数および受信パケット数を集計し、集計された送信パケット数の総和と受信パケット数の総和とを比較してネットワークＮＷにおける不正アクセスの発生を検知する。

【0024】

［不正接続検知装置の機能ブロック］
次に、本実施の形態に係る不正接続検知装置１の機能構成について、図２のブロック図を参照して説明する。

【0025】

不正接続検知装置１は、送受信部１０、取得部１１、集計部１２、判断部１３、および記憶部１４を備える。

【0026】

送受信部１０は、通信インターフェースであり、自装置と、ネットワークＮＷを介して接続されているコントローラ２ａ、２ｂ、２ｃとの間でやり取りされるパケットを送受信する。なお、本実施の形態では、不正接続検知装置１は、コントローラ２とは、一対一のユニキャスト通信は行わず、マルチキャスト通信やブロードキャスト通信を行う場合を仮定する。

【0027】

取得部１１は、複数のコントローラ２各々がユニキャスト通信によりネットワークＮＷ内で送信したパケットの数を示す送信パケット数Ｓ_２（第１送信パケット数）および受信したパケットの数を示す受信パケット数Ｒ_２（第１受信パケット数）を取得する。例えば、取得部１１は、１０分ごとなど任意に設定された周期で、コントローラ２ａ、２ｂ、２ｃにおいてそれぞれカウントされている送信パケット数Ｓ_２ａ、Ｓ_２ｂ、Ｓ_２ｃおよび受信パケット数Ｒ_２ａ、Ｒ_２ｂ、Ｒ_２ｃをネットワークＮＷを介してコントローラ２ａ、２ｂ、２ｃから取得することができる。

【0028】

取得部１１は、例えば、複数のコントローラ２に対してマルチキャストで要求パケットを送受信部１０を介して送信して、コントローラ２各々から送信パケット数および受信パケット数を取得することができる。このとき取得部１１は、記憶部１４に記憶されているネットワークＮＷへの接続が許可されているコントローラ２の識別情報に基づいて、送信パケット数および受信パケット数を取得することができる。

【0029】

なお、複数のコントローラ２各々では、例えば、ヘッダに示された宛先が一つのみのユニキャストパケットのみがカウントされる。

【0030】

集計部１２は、取得部１１が取得したコントローラ２ａ、２ｂ、２ｃごとの送信パケット数Ｓ_２ａ、Ｓ_２ｂ、Ｓ_２ｃおよび受信パケット数Ｒ_２ａ、Ｒ_２ｂ、Ｒ_２ｃから、監視対象のネットワークＮＷ内でユニキャスト通信により送信されたパケットの数の総数および受信されたパケットの数の総数を示す送信パケット数（第２送信パケット数）Ｓ_ＮＷおよび受信パケット数（第２受信パケット数）Ｒ_ＮＷを集計する。

【0031】

より詳細には、集計部１２は、各コントローラ２ａ、２ｂ、２ｃでユニキャストにより送信された送信パケット数Ｓ_２ａ、Ｓ_２ｂ、Ｓ_２ｃの総和から、監視対象のネットワークＮＷ全体においてユニキャストで送信された送信パケット数Ｓ_ＮＷ（Ｓ_ＮＷ＝Ｓ_２ａ＋Ｓ_２ｂ＋Ｓ_２ｃ）を求める。

【0032】

また、集計部１２は、各コントローラ２ａ、２ｂ、２ｃでユニキャストにより受信された受信パケット数Ｒ_２ａ、Ｒ_２ｂ、Ｒ_２ｃの総和から、監視対象のネットワークＮＷ全体においてユニキャストで受信された受信パケット数Ｒ_ＮＷ（Ｒ_ＮＷ＝Ｒ_２ａ＋Ｒ_２ｂ＋Ｒ_２ｃ）を求める。

【0033】

判断部１３は、集計部１２によって集計されたネットワークＮＷ全体でユニキャストで送信された送信パケット数Ｓ_ＮＷと受信された受信パケット数Ｒ_ＮＷとを比較する。判断部１３は、送信パケット数Ｓ_ＮＷと受信パケット数Ｒ_ＮＷとが異なる場合に、監視対象のネットワークＮＷにおいて不正接続が発生したと判断する。具体的には、判断部１３は、送信パケット数Ｓ_ＮＷが受信パケット数Ｒ_ＮＷよりも少ない場合には、不正接続が発生したと判断することができる。

【0034】

例えば、ネットワークＮＷに接続されているコントローラ２が外部から不正アクセスを受け、コントローラ２の情報が不正に取得され得るような状況では、攻撃者は攻撃対象のコントローラ２に対して何かしらの調査パケットをユニキャストで送信する場合がある。しかし、コントローラ２は、このような不正アクセスによる全ての調査パケットに対して応答するわけではない。

【0035】

ネットワークＮＷへの不正アクセスによる調査パケットがネットワークＮＷを流れる場合には、監視対象のネットワークＮＷ全体でのユニキャストによる送信パケット数Ｓ_ＮＷと受信パケット数Ｒ_ＮＷとは一致しないことになる。このことから、監視対象のネットワークＮＷへの接続が許可されていない不正端末などによる侵入があったことが検知される。

【0036】

記憶部１４は、ネットワークＮＷに接続されているコントローラ２ａ、２ｂ、２ｃを識別する情報、例えば、ＭＡＣアドレスなどを予め記憶している。すなわち、記憶部１５には、ネットワークＮＷへの接続が許可されている正規端末の情報が事前に登録されている。

【0037】

［不正接続検知装置のハードウェア構成］
次に上述した機能を有する不正接続検知装置１のハードウェア構成の一例について、図３を用いて説明する。

【0038】

図３に示すように、不正接続検知装置１は、例えば、バス１０１を介して接続されるプロセッサ１０２、主記憶装置１０３、通信インターフェース１０４、補助記憶装置１０５、入出力Ｉ／Ｏ１０６を備えるコンピュータと、これらのハードウェア資源を制御するプログラムによって実現することができる。

【0039】

主記憶装置１０３には、プロセッサ１０２が各種制御や演算を行うためのプログラムが予め格納されている。プロセッサ１０２と主記憶装置１０３とによって、図２に示した取得部１１、集計部１２、判断部１３など、不正接続検知装置１の各機能が実現される。

【0040】

通信インターフェース１０４は、不正接続検知装置１とコントローラ２ａ、２ｂ、２ｃや各種外部電子機器との間をネットワーク接続するためのインターフェース回路である。通信インターフェース１０４により、図２で説明した送受信部１０が実現される。また、通信インターフェース１０４からネットワークＮＷ上の図示されない特定のサーバなどに対して、検知された不正接続に関する情報を送出することができる。

【0041】

補助記憶装置１０５は、読み書き可能な記憶媒体と、その記憶媒体に対してプログラムやデータなどの各種情報を読み書きするための駆動装置とで構成されている。補助記憶装置１０５には、記憶媒体としてハードディスクやフラッシュメモリなどの半導体メモリを使用することができる。

【0042】

補助記憶装置１０５は、不正接続検知装置１が、ネットワークＮＷへの不正接続を検知するための不正接続検知プログラムを格納するプログラム格納領域を有する。補助記憶装置１０５によって、図２で説明した記憶部１４が実現される。さらには、例えば、上述したデータやプログラムやなどをバックアップするためのバックアップ領域などを有していてもよい。

【0043】

入出力Ｉ／Ｏ１０６は、外部機器からの信号を入力したり、外部機器へ信号を出力したりするＩ／Ｏ端子により構成される。

【0044】

入力装置１０７は、キーボードやタッチパネルなどで構成され、操作入力を受け付けて対応する信号を生成する。例えば、入力装置１０７は、ネットワークＮＷへの接続が許可されたコントローラ２ａ、２ｂ、２ｃの識別情報を受け付ける。

【0045】

表示装置１０８は、液晶ディスプレイなどによって構成される。表示装置１０８は、判断部１３による判断結果を表示画面に表示することができる。

【0046】

［コントローラの機能ブロック］
次に、本実施の形態に係るコントローラ２ａ、２ｂ、２ｃの構成例を図４のブロック図を参照して説明する。なお、複数のコントローラ２ａ、２ｂ、２ｃはそれぞれ同様の構成を有し、図５では、総称してコントローラ２と記載している。

【0047】

コントローラ２は、送受信部２０、パケットカウンタ（第１パケットカウンタ）２１、および記憶部２２を備える。

【0048】

送受信部２０は、通信インターフェースであり、ネットワークＮＷを介して不正接続検知装置１などとやり取りされるパケットを送受信する。また、送受信部２０は、コントローラ２がユニキャストで送信した送信パケット数Ｓ_２および受信した受信パケット数Ｒ_２を不正接続検知装置１からの要求に応じて返信する。

【0049】

パケットカウンタ２１は、自装置がユニキャストでネットワークＮＷ内で送信した送信パケット数Ｓ_２および受信した受信パケット数Ｒ_２をカウントする。パケットカウンタ２１は、送信パケットおよび受信パケットのヘッダ情報により宛先が１つのみのユニキャストパケットをカウントすることができる。

【0050】

記憶部２２は、パケットカウンタ２１がカウントした送信パケット数Ｓ_２および受信パケット数Ｒ_２を記憶する。

【0051】

［コントローラのハードウェア構成］
次に上述した機能を有するコントローラ２のハードウェア構成の一例について、図５を用いて説明する。

【0052】

図５に示すように、コントローラ２は、例えば、バス２０１を介して接続されるプロセッサ２０２、主記憶装置２０３、通信インターフェース２０４、補助記憶装置２０５、入出力Ｉ／Ｏ２０６を備えるコンピュータと、これらのハードウェア資源を制御するプログラムによって実現することができる。

【0053】

主記憶装置２０３には、プロセッサ２０２が各種制御や演算を行うためのプログラムが予め格納されている。プロセッサ２０２と主記憶装置２０３とによって、図４に示したパケットカウンタ２１など、コントローラ２が備える各機能が実現される。

【0054】

通信インターフェース２０４は、コントローラ２と不正接続検知装置１や各種外部電子機器との間をネットワーク接続するためのインターフェース回路である。通信インターフェース２０４により、図４で説明した送受信部２０が実現される。

【0055】

補助記憶装置２０５は、読み書き可能な記憶媒体と、その記憶媒体に対してプログラムやデータなどの各種情報を読み書きするための駆動装置とで構成されている。補助記憶装置２０５には、記憶媒体としてハードディスクやフラッシュメモリなどの半導体メモリを使用することができる。

【0056】

補助記憶装置２０５は、コントローラ２がユニキャストで送受信したパケットをカウントするためのプログラムを格納するプログラム格納領域を有する。補助記憶装置２０５によって、図４で説明した記憶部２２が実現される。さらには、例えば、上述したデータやプログラムやなどをバックアップするためのバックアップ領域などを有していてもよい。

【0057】

入出力Ｉ／Ｏ２０６は、外部機器からの信号を入力したり、外部機器へ信号を出力したりするＩ／Ｏ端子により構成される。例えば、入出力Ｉ／Ｏ２０６を介してコントローラ２が制御や管理を行うセンサなどの図示されない機器と接続されている。

【0058】

入力装置２０７は、物理キーやタッチパネルなどで構成され、操作入力を受け付けて対応する信号を生成する。

【0059】

表示装置２０８は、液晶ディスプレイなどによって構成される。

【0060】

［不正接続検知装置の動作］
次に、上述した構成を有する不正接続検知装置１の動作および不正接続検知システムの動作について、図６から図８を参照して説明する。以下において、記憶部１４には、事前にネットワークＮＷへの接続が許可されているコントローラ２ａ、２ｂ、２ｃの識別情報が記憶されている。

【0061】

まず、取得部１１は、コントローラ２ａ、２ｂ、２ｃがユニキャストによりネットワークＮＷ内で送受信した送信パケット数Ｓ_２ａ、Ｓ_２ｂ、Ｓ_２ｃ、および受信パケット数Ｒ_２ａ、Ｒ_２ｂ、Ｒ_２ｃを、コントローラ２ａ、２ｂ、２ｃ各々から取得する（ステップＳ１）。

【0062】

例えば、取得部１１は、１０分周期などの周期で、ネットワークＮＷ上のコントローラ２ａ、２ｂ、２ｃから送信パケット数Ｓ_２ａ、Ｓ_２ｂ、Ｓ_２ｃ、および受信パケット数Ｒ_２ａ、Ｒ_２ｂ、Ｒ_２ｃを取得する。

【0063】

次に、集計部１２は、ネットワークＮＷ内でユニキャストで送信された送信パケット数の総和および受信された受信パケット数の総数を集計する（ステップＳ２）。より具体的には、集計部１２は、ステップＳ１で取得されたコントローラ２ａ、２ｂ、２ｃの送信パケット数Ｓ_２ａ、Ｓ_２ｂ、Ｓ_２ｃ、および受信パケット数Ｒ_２ａ、Ｒ_２ｂ、Ｒ_２ｃそれぞれの総和（送信パケット数Ｓ_ＮＷおよび受信パケット数Ｒ_ＮＷ）を計算する。

【0064】

次に、判断部１３は、ステップＳ２で集計されたネットワークＮＷ全体でのユニキャストによる送信パケット数Ｓ_ＮＷと受信パケット数Ｒ_ＮＷとを比較し、送信パケット数Ｓ_ＮＷと受信パケット数Ｒ_ＮＷとが異なる場合において（ステップＳ３：ＮＯ）、送信パケット数Ｓ_ＮＷが受信パケット数Ｒ_ＮＷよりも少ない場合には（ステップＳ４：ＹＥＳ）、不正接続が発生したと判断する（ステップＳ５）。

【0065】

その後、表示装置１０８は、表示画面に、不正接続が発生したことを示す情報を表示する（ステップＳ６）。なお、ステップＳ４において、送信パケット数Ｓ_ＮＷが受信パケット数Ｒ_ＮＷよりも多い場合には（ステップＳ４：ＮＯ）、表示装置１０８は、送信パケット数Ｓ_ＮＷが受信パケット数Ｒ_ＮＷよりも多いことを示す情報を表示画面に表示することができる（ステップＳ６）。送信パケット数Ｓ_ＮＷが受信パケット数Ｒ_ＮＷよりも多い場合には、送信されたはずのパケットが受信されていない状況が生じており、通信の異常が発生している可能性があるため、通知情報として表示画面に表示することができる。

【0066】

なお、ステップＳ３において、集計された送信パケット数Ｓ_ＮＷと受信パケット数Ｒ_ＮＷとが一致する場合には（ステップＳ３：ＹＥＳ）、不正接続は発生していないとして、処理を終了する。

【0067】

例えば、図７の例では、ネットワークＮＷ全体での送信パケット数Ｓ_ＮＷは、１００である（Ｓ_ＮＷ＝Ｓ_２ａ＋Ｓ_２ｂ＋Ｓ_２ｃ＝２０＋５０＋３０＝１００）。一方、ネットワークＮＷ全体での受信パケット数Ｒ_ＮＷについても１００である（Ｒ_ＮＷ＝Ｒ_２ａ＋Ｒ_２ｂ＋Ｒ_２ｃ＝３０＋２０＋５０＝１００）。システム全体では送信パケット数と受信パケット数が一致している。

【0068】

図８は、ネットワークＮＷへの接続が許可されていない不正端末が不正接続を行う場合を例示している。図８に示すように、不正端末は、コントローラ２ｃから不正に情報を取得しようとして、コントローラ２ｃに対して複数の調査パケットをユニキャストで送信している。

【0069】

不正端末からの調査パケットを受信したコントローラ２ｃは、不正端末に対して返信パケットを送信する場合もあるが、返信しない場合もある。コントローラ２ｃが返信パケットを送信しない場合には、パケットカウンタ２１は、受信パケット数のみをカウントアップすることになる。

【0070】

図８に示す状況において、監視対象のネットワークＮＷ全体での送信パケット数Ｓ_ＮＷは、１００である（Ｓ_ＮＷ＝Ｓ_２ａ＋Ｓ_２ｂ＋Ｓ_２ｃ＝２０＋５０＋３０＝１００）。一方、ネットワークＮＷ全体での受信パケット数Ｒ_ＮＷは、２５０である（Ｒ_ＮＷ＝Ｒ_２ａ＋Ｒ_２ｂ＋Ｒ_２ｃ＝３０＋２０＋２００＝２５０）。システム全体では送信パケット数と受信パケット数とが一致しておらず、［送信パケット数Ｓ_ＮＷ＜受信パケット数Ｒ_ＮＷ］となっている。

【0071】

図８の例において、不正接続検知装置１は、ネットワークＮＷにおいて不正接続が発生していると判断する。

【0072】

以上説明したように、第１の実施の形態によれば、ユニキャスト通信によりネットワークＮＷ内でコントローラ２各々が送信した送信パケット数および受信した受信パケット数の総和を集計する。そして、送信パケット数の総和と受信パケット数の総和とが一致しない場合、すなわち、送信パケット数が受信パケット数よりも少ない場合に不正接続が発生したと判断する。そのため、より簡易な構成でネットワークＮＷに発生する不正接続を検知することができる。

【0073】

［第２の実施の形態］
次に、本発明の第２の実施の形態について説明する。なお、以下の説明では、上述した第１の実施の形態と同じ構成については同一の符号を付し、その説明を省略する。

【0074】

第１の実施の形態では、不正接続検知装置１がユニキャスト通信を行わない場合を例示して説明した。これに対し、第２の実施の形態では、不正接続検知装置１Ａは、ネットワークＮＷ内で、ユニキャスト通信を行う。例えば、不正接続検知装置１Ａは、ネットワークＮＷを介して接続されているコントローラ２ａ、２ｂ、２ｃとの一対一のユニキャスト通信を行うことができる場合を仮定する。

【0075】

図９は、第２の実施の形態に係る不正接続検知装置１Ａの構成を示すブロック図である。不正接続検知装置１Ａは、パケットカウンタ（第３パケットカウンタ）１５を備える点で、第１の実施の形態の構成とは異なる。また、本実施の形態に係るコントローラ２ａ、２ｂ、２ｃの構成は第１の実施の形態と同様である。

【0076】

［不正接続検知装置の機能ブロック］
図９に示すように、不正接続検知装置１Ａは、送受信部１０、取得部１１、集計部１２、判断部１３、記憶部１４、およびパケットカウンタ１５を備える。パケットカウンタ１５以外の構成については、第１の実施の形態と同様である。

【0077】

パケットカウンタ１５は、ネットワークＮＷ内でユニキャスト通信により自装置が送信したパケット数を示す送信パケット数Ｓ_１（第３送信パケット数）および受信したパケット数を示す受信パケット数Ｒ_１（第３受信パケット数）をカウントする。パケットカウンタ１５によってカウントされた送信パケット数Ｓ_１，および受信パケット数Ｒ_１は、記憶部１５に記憶される。

【0078】

集計部１２は、取得部１１によって取得された、コントローラ２ａ、２ｂ、２ｃ各々がユニキャストで送信した送信パケット数Ｓ_２ａ、Ｓ_２ｂ、Ｓ_２ｃ、および受信した受信パケット数Ｒ_２ａ、Ｒ_２ｂ、Ｒ_２ｃ、ならびにパケットカウンタ１５によってカウントされた不正接続検知装置１Ａがユニキャストで送信した送信パケット数Ｓ_１および受信した受信パケット数Ｒ_１に基づいて、ネットワークＮＷ全体でのユニキャストによる送信パケット数の総和Ｓ_ＮＷおよび受信パケット数の総和Ｒ_ＮＷを集計する。

【0079】

判断部１３は、集計部１２によって集計された送信パケット数の総和Ｓ_ＮＷと受信パケット数の総和Ｒ_ＮＷとを比較して、送信パケット数Ｓ_ＮＷと受信パケット数Ｒ_ＮＷとが異なる場合、例えば、送信パケット数Ｓ_ＮＷが受信パケット数Ｒ_ＮＷよりも少ない場合に、ネットワークＮＷにおいて不正接続が発生したと判断する。

【0080】

［不正接続検知装置の動作］
次に、本実施の形態に係る不正接続検知装置１Ａの動作および不正接続検知システムの動作について図１０から図１２を参照して説明する。なお、記憶部１４には、事前にネットワークＮＷへの接続が許可されているコントローラ２ａ、２ｂ、２ｃの識別情報が記憶されている。

【0081】

まず、パケットカウンタ１５は、自装置がユニキャストによりネットワークＮＷ内で送信した送信パケット数Ｓ_１、および受信した受信パケット数Ｒ_１をカウントする（ステップＳ１００）。パケットカウンタ１５によってカウントされたパケット数は、記憶部１４に記憶される。

【0082】

次に、取得部１１は、コントローラ２ａ、２ｂ、２ｃがユニキャストによりネットワークＮＷ内で送受信した送信パケット数Ｓ_２ａ、Ｓ_２ｂ、Ｓ_２ｃ、および受信パケット数Ｒ_２ａ、Ｒ_２ｂ、Ｒ_２ｃを、コントローラ２ａ、２ｂ、２ｃ各々から取得する（ステップＳ１）。

【0083】

次に、集計部１２は、ネットワークＮＷ内でユニキャストにより送信された送信パケット数の総和および受信された受信パケット数の総数を集計する（ステップＳ２）。より具体的には、集計部１２は、ステップＳ１００でカウントされた自装置がユニキャストで送信した送信パケット数Ｓ_１および受信した受信パケット数Ｒ_１、ならびに、ステップＳ１で取得されたコントローラ２ａ、２ｂ、２ｃの送信パケット数Ｓ_２ａ、Ｓ_２ｂ、Ｓ_２ｃ、および受信パケット数Ｒ_２ａ、Ｒ_２ｂ、Ｒ_２ｃの総和（送信パケット数Ｓ_ＮＷおよび受信パケット数Ｒ_ＮＷ）を計算する。

【0084】

次に、判断部１３は、ステップＳ２で集計されたネットワークＮＷ全体でのユニキャストによる送信パケット数Ｓ_ＮＷと受信パケット数Ｒ_ＮＷとを比較し、送信パケット数Ｓ_ＮＷと受信パケット数Ｒ_ＮＷとが異なる場合において（ステップＳ３：ＮＯ）、送信パケット数Ｓ_ＮＷが受信パケット数Ｒ_ＮＷよりも少ない場合には（ステップＳ４：ＹＥＳ）、不正接続が発生したと判断する（ステップＳ５）。

【0085】

その後、表示装置１０８は、表示画面に、不正接続が発生したことを示す情報を表示する（ステップＳ６）。なお、ステップＳ４において、送信パケット数Ｓ_ＮＷが受信パケット数Ｒ_ＮＷよりも多い場合には（ステップＳ４：ＮＯ）、表示装置１０８は、送信パケット数Ｓ_ＮＷが受信パケット数Ｒ_ＮＷよりも多いことを示す情報を表示画面に表示することができる（ステップＳ６）。

【0086】

なお、ステップＳ３において、集計された送信パケット数Ｓ_ＮＷと受信パケット数Ｒ_ＮＷとが一致する場合には（ステップＳ３：ＹＥＳ）、不正接続は発生していないとして、処理は終了する。

【0087】

例えば、図１１の例では、ネットワークＮＷ全体での送信パケット数Ｓ_ＮＷは、１５０である（Ｓ_ＮＷ＝Ｓ_１＋Ｓ_２ａ＋Ｓ_２ｂ＋Ｓ_２ｃ＝５０＋２０＋５０＋３０＝１５０）。一方、ネットワークＮＷ全体での受信パケット数Ｒ_ＮＷについても１５０である（Ｒ_ＮＷ＝Ｒ_１＋Ｒ_２ａ＋Ｒ_２ｂ＋Ｒ_２ｃ＝５０＋３０＋２０＋５０＝１５０）。システム全体では送信パケット数と受信パケット数が一致している。

【0088】

図１２は、ネットワークＮＷへの接続が許可されていない不正端末が不正接続を行う場合を例示している。図１２に示すように、不正端末は、コントローラ２ｃから不正に情報を取得しようとして、コントローラ２ｃに対して複数の調査パケットをユニキャストで送信している。

【0089】

図１２に示す状況において、監視対象のネットワークＮＷ全体での送信パケット数Ｓ_ＮＷは、１５０である（Ｓ_ＮＷ＝Ｓ_１＋Ｓ_２ａ＋Ｓ_２ｂ＋Ｓ_２ｃ＝５０＋２０＋５０＋３０＝１５０）。一方、ネットワークＮＷ全体での受信パケット数Ｒ_ＮＷは、３００である（Ｒ_ＮＷ＝Ｒ_１＋Ｒ_２ａ＋Ｒ_２ｂ＋Ｒ_２ｃ＝５０＋３０＋２０＋２００＝３００）。システム全体では送信および受信されたパケットの数が一致しておらず、［送信パケット数Ｓ_ＮＷ＜受信パケット数Ｒ_ＮＷ］となっている。

【0090】

図１２の例において、不正接続検知装置１Ａは、ネットワークＮＷにおいて不正接続が発生していると判断する。

【0091】

以上説明したように、第２の実施の形態によれば、不正接続検知装置１Ａがユニキャストによるパケットを送受信する場合においても、ネットワークＮＷ内でユニキャストで送受信されたパケット数の総和を集計する。そして、送信パケット数と受信パケット数とが一致しない場合、すなわち、送信パケット数が受信パケット数よりも少ない場合に不正接続が発生したと判断する。そのため、より簡易な構成でネットワークＮＷに発生する不正接続を検知することができる。

【0092】

なお、説明した実施の形態では、不正接続検知装置１、１Ａがコントローラ２ａ、２ｂ、２ｃ各々からネットワークＮＷを介して各コントローラ２でカウントされた送信パケット数および受信パケット数を一定周期で取得する場合について説明した。しかし、不正接続検知装置１、１Ａは、例えば、パケットキャプチャなどによりネットワークＮＷ上を流れるユニキャスト通信によるパケットを監視して、送信パケット数および受信パケット数を取得する構成とすることもできる。

【0093】

以上、本発明の不正接続検知装置、不正接続検知システム、および不正接続検知方法における実施の形態について説明したが、本発明は説明した実施の形態に限定されるものではなく、請求項に記載した発明の範囲において当業者が想定し得る各種の変形を行うことが可能である。

【符号の説明】

【0094】

１…不正接続検知装置、２、２ａ、２ｂ、２ｃ…コントローラ、１０、２０…送受信部、１１…取得部、１２…集計部、１３…判断部、１４、２２…記憶部、１５、２１…パケットカウンタ、１０１、２０１…バス、１０２、２０２…プロセッサ、１０３、２０３…主記憶装置、１０４、２０４…通信インターフェース、１０５、２０５…補助記憶装置、１０６、２０６…入出力Ｉ／Ｏ、１０７、２０７…入力装置、１０８、２０８…表示装置、ＮＷ…ネットワーク。

【図1】

【図2】

【図3】

【図4】

【図5】

【図6】

【図7】

【図8】

【図9】

【図10】

【図11】

【図12】