知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6793524
(24)【登録日】2020年11月12日
(45)【発行日】2020年12月2日
(54)【発明の名称】ログ解析システムおよびその方法
(51)【国際特許分類】
H04L 12/70 20130101AFI20201119BHJP
【FI】
H04L12/70 100Z
【請求項の数】9
【全頁数】20
(21)【出願番号】特願2016-214265(P2016-214265)
(22)【出願日】2016年11月1日
(65)【公開番号】特開2018-74465(P2018-74465A)
(43)【公開日】2018年5月10日
【審査請求日】2019年9月4日
(73)【特許権者】
【識別番号】000005108
【氏名又は名称】株式会社日立製作所
(74)【代理人】
【識別番号】110002365
【氏名又は名称】特許業務法人サンネクスト国際特許事務所
(72)【発明者】
【氏名】内山 宏樹
(72)【発明者】
【氏名】矢戸 晃史
(72)【発明者】
【氏名】大久保 訓
(72)【発明者】
【氏名】山口 耕平
【審査官】
宮島 郁美
(56)【参考文献】
【文献】
特開2005−223870(JP,A)
【文献】
特開2016−163352(JP,A)
【文献】
特開2007−243338(JP,A)
【文献】
特開2013−168763(JP,A)
【文献】
米国特許出願公開第2004/0037229(US,A1)
【文献】
特開2010−283668(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L12/00−12/26,12/50−12/955
G06F21/00,21/30−21/46
(57)【特許請求の範囲】
【請求項1】
制御装置の複数の通信ログを解析するログ解析システムであって、
前記複数の通信ログに対応する一定時間における複数の通信パケットをネットワークから受信するネットワーク装置と、
前記ネットワーク装置への通信を監視する監視装置と、
を備え、
前記監視装置は、前記一定時間における複数の通信パケットの送受信時刻を含むデータの時系列データを周波数変換することにより得られた通信パターンと不正アクセスのない状態の通信におけるパターンである定常パターンとの差分としてのパターンである異常パターンを求め、前記異常パターンに対して逆周波数変換を施すことで取得された情報であり時刻を含む情報に基づいて、前記異常パターンに該当する通信パケットである異常パケットを復元し、復元された前記異常パケットを報知する
ログ解析システム。
前記複数の通信ログに対応する一定時間における複数の通信パケットをネットワークから受信するネットワーク装置と、
前記ネットワーク装置への通信を監視する監視装置と、
を備え、
前記監視装置は、前記一定時間における複数の通信パケットの送受信時刻を含むデータの時系列データを周波数変換することにより得られた通信パターンと不正アクセスのない状態の通信におけるパターンである定常パターンとの差分としてのパターンである異常パターンを求め、前記異常パターンに対して逆周波数変換を施すことで取得された情報であり時刻を含む情報に基づいて、前記異常パターンに該当する通信パケットである異常パケットを復元し、復元された前記異常パケットを報知する
ログ解析システム。
【請求項2】
前記ネットワーク装置は、前記一定時間における複数の通信パケットを複製して前記監視装置に送信する
請求項1記載のログ解析システム。
請求項1記載のログ解析システム。
【請求項3】
前記監視装置は、複数の前記一定時間における複数の通信パケットそれぞれの送受信周期と送受信サイズの変動に基づいて、前記通信パターンを複数の前記通信パケットから抽出する
請求項1に記載のログ解析システム。
請求項1に記載のログ解析システム。
【請求項4】
収集装置は前記ネットワーク装置から前記一定時間における複数の通信パケットを収集し、
前記監視装置は、前記収集装置によって収集された前記一定時間における複数の通信パケットに基づいて前記一定時間における複数の通信パケットを復元する
請求項1に記載のログ解析システム。
前記監視装置は、前記収集装置によって収集された前記一定時間における複数の通信パケットに基づいて前記一定時間における複数の通信パケットを復元する
請求項1に記載のログ解析システム。
【請求項5】
前記監視装置は、
複数の前記収集装置のそれぞれで収集された前記一定時間における複数の通信パケットに基づいて前記一定時間における複数の通信パケットを復元する
請求項4に記載のログ解析システム。
複数の前記収集装置のそれぞれで収集された前記一定時間における複数の通信パケットに基づいて前記一定時間における複数の通信パケットを復元する
請求項4に記載のログ解析システム。
【請求項6】
前記監視装置は、前記一定時間における複数の通信パケットを収集し、前記一定時間における複数の通信パケットの前記通信パターンと前記通信の前記定常パターンとの前記差分を求め、前記差分に基づいて前記一定時間における複数の通信パケットの中で差分となる前記複数の通信パケット情報を復元する収集装置を備え、復元された前記複数の通信パケットを報知する
請求項1に記載のログ解析システム。
請求項1に記載のログ解析システム。
【請求項7】
前記監視装置は、
前記一定時間における複数の通信パケットを時系列で表示し、前記定常パターンの前記一定時間における複数の通信パケットと前記差分に基づいた前記一定時間における複数の通信パケットとを識別可能な形で表示する
請求項1に記載のログ解析システム。
前記一定時間における複数の通信パケットを時系列で表示し、前記定常パターンの前記一定時間における複数の通信パケットと前記差分に基づいた前記一定時間における複数の通信パケットとを識別可能な形で表示する
請求項1に記載のログ解析システム。
【請求項8】
前記監視装置は、前記制御装置の運転状態に応じた設定がなされ、
前記運転状態は、前記監視装置が前記通信の前記定常パターンを取得するための試運転状態と、試運転状態以外の運用状態であり、
前記監視装置は、前記設定により実行可能な処理が制限される
請求項1に記載のログ解析システム。
前記運転状態は、前記監視装置が前記通信の前記定常パターンを取得するための試運転状態と、試運転状態以外の運用状態であり、
前記監視装置は、前記設定により実行可能な処理が制限される
請求項1に記載のログ解析システム。
【請求項9】
制御装置の複数の通信ログを解析するログ解析システムにおけるログ解析方法であって、
前記ログ解析システムは、
前記複数の通信ログに対応する一定時間における複数の通信パケットをネットワークから受信するネットワーク装置と、
前記ネットワーク装置への通信を監視する監視装置と、
を備え、
前記監視装置が、前記一定時間における複数の通信パケットの送受信時刻を含むデータの時系列データを周波数変換することにより得られた通信パターンと不正アクセスのない状態の通信におけるパターンである定常パターンとの差分としてのパターンである異常パターンを求める第1のステップと、
前記監視装置が、前記異常パターンに対して逆周波数変換を施すことで取得された情報であり時刻を含む情報に基づいて、前記異常パターンに該当する通信パケットである異常パケットを復元する第2のステップと、
前記監視装置が、復元された前記異常パケットを報知する第3のステップと、
を備えるログ解析方法。
前記ログ解析システムは、
前記複数の通信ログに対応する一定時間における複数の通信パケットをネットワークから受信するネットワーク装置と、
前記ネットワーク装置への通信を監視する監視装置と、
を備え、
前記監視装置が、前記一定時間における複数の通信パケットの送受信時刻を含むデータの時系列データを周波数変換することにより得られた通信パターンと不正アクセスのない状態の通信におけるパターンである定常パターンとの差分としてのパターンである異常パターンを求める第1のステップと、
前記監視装置が、前記異常パターンに対して逆周波数変換を施すことで取得された情報であり時刻を含む情報に基づいて、前記異常パターンに該当する通信パケットである異常パケットを復元する第2のステップと、
前記監視装置が、復元された前記異常パケットを報知する第3のステップと、
を備えるログ解析方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ログ解析システムおよびその方法に関し、例えば、プラント設備の制御システムの通信ログを解析して不正アクセスによる通信ログを抽出するログ解析システムに関する。
【背景技術】
【0002】
プラント設備に限らず、自動車や家電など多くの分野で、コンピュータを利用した制御システムが汎用されている。そして、IT技術の進歩により、制御システムもネットワークを介して、情報の入出力が可能になっている。一方、これに合わせて、制御システムに対するコンピュータウィルスやDoS攻撃といった不正アクセスも目立つようになっている。そこで、制御システムを不正アクセスから守る技術が種々提案されている。
【0003】
制御システムに対する大量の通信ログの1つ1つをチェックして、不正アクセスを検知することは容易ではない。そこで、特許文献1には、通信ログを処理すべきテンプレートを複数用意し、通信ログがどのテンプレートにマッチしたかによって、不正アクセス防止のために確認すべき通信ログ量を削減できる技術が開示されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2014−153721号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、特許文献1に記載された発明では、制御システムの運用形態によって、制御システムの通信ログのパターンが大きく変化するため、そもそもテンプレートによって、不正アクセスから制御システムを防衛するには限界があった。ここでパターンとは、例えば周波数に着目した通信ログの特徴とする。また通信におけるパターンを通信パターンとする。
【0006】
本発明は、不正アクセスから制御システムをより効果的に防衛することできるログ解析システムおよびその方法を提案しようとするものである。
【課題を解決するための手段】
【0007】
かかる課題を解決するために本発明においては、制御装置の通信ログを解析するログ解析システムにおいて、通信ログに対応する通信パケットをネットワークから受信するネットワーク装置と、ネットワーク装置への通信を監視する監視装置と、を備え、監視装置は、通信パケットの通信パターンと不正アクセスのない状態の通信におけるパターンである定常パターンとの差分を求め、差分に基づいて通信パケットを復元し、復元された通信パケットを報知するようにした。
【0008】
また本発明においては、制御装置の通信ログを解析するログ解析システムにおけるログ解析方法において、ログ解析システムは、通信ログに対応する通信パケットをネットワークから受信するネットワーク装置と、ネットワーク装置への通信を監視する監視装置と、備え、監視装置が、通信パケットの通信パターンと不正アクセスのない状態の通信におけるパターンである定常パターンとの差分を求める第1のステップと、監視装置が、差分に基づいて通信パケットを復元する第2のステップと、監視装置が、復元された通信パケットを報知する第3のステップと、を備えるようにした。
【発明の効果】
【0009】
本発明によれば、不正アクセスから制御システムをより効果的に防衛することできるログ解析システムおよびその方法を実現できる。
【図面の簡単な説明】
【0010】
【図1】第1の実施の形態によるログ解析システムの機能構成を示すブロック図である。
【図2】本実施の形態による制御装置のハードウェア構成を示すブロック図である。
【図3】本実施の形態によるネットワーク装置のハードウェア構成を示すブロック図である。
【図4】本実施の形態による監視装置のハードウェア構成を示すブロック図である。
【図5】第1の実施の形態によるログ解析システムの試運転時実施処理の流れを示すシーケンス図である。
【図6】パターン格納処理の処理手順を示すフローチャートである。
【図7】パターン抽出処理の処理手順を示すフローチャートである。
【図8】異常パケット格納処理の処理手順を示すフローチャートである。
【図9】異常パケット抽出処理の処理手順を示すフローチャートである。
【図10】監視画面の構成を略線的に示す略線図である。
【図11】異常監視画面の構成を略線的に示す略線図である。
【図12】通信パケットの構成を示す概念図である。
【図13】通信パターンの構成を示す概念図である。
【図14】通信パターンの周波数と強度の分布を示す概念図である。
【図15】第2の実施の形態によるログ解析システムの機能構成を示すブロック図である。
【図16】第2の実施の形態によるログ解析システムの運用時実施処理の流れを示すシーケンス図である。
【図17】第3の実施の形態によるログ解析システムの機能構成を示すブロック図である。
【図18】第3の実施の形態によるログ解析システムの試運転時実施処理の流れを示すシーケンス図である。
【発明を実施するための形態】
【0011】
以下図面について、本発明の一実施の形態を詳述する。なお、これにより本発明が限定されるものではない。
【0012】
(1)第1の実施の形態(1−1)本実施の形態によるログ解析システムの構成
図1は、本実施の形態によるログ解析システムの機能構成を示す。このシステムは、ネットワーク装置20と、制御装置10の通信ログを監視する監視装置30と、イントラネットなどのネットワーク40とを備える。
【0013】
制御装置10は、プラント設備などの制御対象を制御する要素であって、1つに限られず、図1に示すように101〜10nのように複数存在する。制御装置10は、具体的には、コンピュータ、コントローラ(MPU)などである。コンピュータには、サーバ計算機、クライアント計算機を含む。制御装置10は、所定の制御処理を行う制御処理モジュール101(1011〜101n)およびネットワーク40やネットワーク装置20と通信する通信モジュール102(1021〜102n)を備える。
【0014】
ネットワーク装置20は、ログ解析システムのネットワーク制御を行うルータやレイヤ2スイッチなどの装置であり、パケット複製モジュール201、第1通信モジュール202、監視装置30と通信を行う第2通信モジュール203および第3通信モジュール204を備える。モジュールは、制御機能を実現する単位であって、プログラム、および/または、ハードウェアによって実現される。
【0015】
パケット複製モジュール201は、ネットワーク装置20に入力される通信パケット1200(図12参照)を複製し、第1通信モジュール202は、ネットワーク40と通信し、第2通信モジュールは監視装置30と通信し、第3通信モジュール204は制御装置10nと通信する。なお、ネットワーク装置20は、4つ以上の通信モジュールを備えていてもよく、例えば第4通信モジュールは図示せぬ制御装置102と通信する。
【0016】
監視装置30は、プラント設備などの制御システムの通信ログを監視する装置であり、通信モジュール301、通信パケット取得モジュール302、パターン抽出モジュール303、異常パターン抽出モジュール304、異常パケット復元モジュール305、出力モジュール306、通信パケット格納モジュール307、定常パターン格納モジュール308、異常パケット格納モジュール309およびモード管理モジュール310を備える。
【0017】
通信モジュール301はネットワーク装置20と通信を行い、通信パケット取得モジュール302は監視装置30に入力される通信パケット1200を取得し、パターン抽出モジュール303は通信パケット取得モジュール302が取得した通信パケット1200のパターンを抽出する。
【0018】
異常パターン抽出モジュール304は通信パケット取得モジュール302が取得した通信パケット1200に含まれる異常パターンを抽出し、異常パケット復元モジュール305は異常パターン抽出モジュール304が抽出した異常パターンに該当する通信パケット1200を復元する。
【0019】
パターンとは、複数の通信ログの組み合わせからなる、通信の態様であり、例えば、複数の通信ログをフーリエ変換することによって判別される。異常パターンとは、コンピュータウィルスやDoS攻撃など不正アクセスに伴う複数の通信ログに基づくパターンである。異常パターンは、制御システムに不正アクセスがないと想定できる環境におけるパターンと比較することによって抽出され得る。
【0020】
このような環境とは、例えば、制御システムの試運転状態など制御システムの動作が通常運転状態よりも落ち着いている運転状態である。この運転状態を定常運転状態と称する。制御装置が通常運転状態(以下、運用状態としてもよい)では、制御装置の活動が活発であるから、種々の不正アクセスのおそれがあるが、制御装置が定常運転状態(以下、試運転状態としてもよい)では、通常運転状態に比較して、ほぼ不正アクセスのおそれはないか、不正アクセスのおそれは小さいと想定できる。
【0021】
この状態の通信パターンを定常運転状態に関連させて定常パターンと称する。監視モジュールは、通信パターンを定常パターンと比較することによって、通信パターンの中から異常パターンを抽出することができる。
【0022】
制御システムに不正アクセスがないと想定される状態は、例えば制御装置10に必要最低限の制御コマンドが入力された状態とする(以下、制御システムの試運転時とする)。
【0023】
通信パケット格納モジュール307は通信パケット取得モジュール302が取得した通信パケット1200を格納し、定常パターン格納モジュール308はパターン抽出モジュール303が抽出した定常時の通信パターン1300(図13参照)を格納する。
【0024】
異常パケット格納モジュール309は異常パケット復元モジュール305が復元した異常パケットを格納し、モード管理モジュール310は監視装置30の動作モードを管理する。動作モードには、初期モードおよび運用モードの2種類のモードがある。初期モードは定常パターンを取得するための監視装置30の動作モードであり、運用モードは異常パターンを取得するための監視装置30の動作モードである。
【0025】
監視装置30の動作モードが、モード管理モジュール310によって初期モードに設定されると、監視装置30およびログ解析システムは試運転状態となり、監視装置30の動作モードがモード管理モジュール310によって運用モードに設定されると、監視装置30およびログ解析システムは運用状態となる。
【0026】
例えば、監視装置30の動作モードは、必要最低限の特定の制御コマンドが制御装置10に入力された際に、モード管理モジュール310によって初期モードに設定される。また、例えば、監視装置30の動作モードは、初期モード以外の場合はモード管理モジュール310によって運用モードとされる。
【0027】
なお、監視装置30の動作モードの設定方法は、上記に限らず、例えば、監視装置30の起動時に初期モードとする、または、監視装置30がスイッチなどから受けることで初期モードとする。
【0028】
また、異常パケット抽出処理SP35(図9参照)中などは、監視装置30の動作モードを初期モードに設定できないようにしてもよく、パターン抽出処理SP25(図7参照)中などは、監視装置30の動作モードを運用モードに設定できないようにしてもよい。
【0029】
図2に制御装置10のハードウェア構成を示す。制御装置10は、通信装置11、入出力装置12、記憶装置13、CPU14およびメモリ15を備え、各装置間がバスなどの内部通信線16で連結される。
【0030】
通信装置11はネットワークカードなどであり、通信モジュール102を備える。入出力装置12はキーボード、マウスおよびディスプレイなどであり、入出力装置12を使用してユーザは制御コマンドを作成する。また、入出力装置12は、LEDおよびプッシュボタンなどでもよいものとする。
【0031】
メモリ15は制御処理モジュール101を備え、制御処理モジュール101をCPU14が呼び出して制御処理を行う。制御処理を行う際および制御コマンドが作成される際には記憶装置13に格納されている制御コマンドに関連する各種テーブルが使用される。
【0032】
図3にネットワーク装置20のハードウェア構成を示す。ネットワーク装置20は、ネットワークカードなどの通信装置21、記憶装置22、入出力装置23、CPU24およびメモリ25を備え、各装置間がバスなどの内部通信線26で連結される。
【0033】
通信装置21は、第1通信装置211、第2通信装置212、第3通信装置213などであり、第1通信装置211は第1通信モジュール202を備え、第2通信装置212は第2通信モジュール203を備え、第3通信装置213は第3通信モジュール204を備える。なお通信装置21は3つに限定されず、ネットワーク装置20は4つ以上の通信装置21を備えてもよい。
【0034】
例えば、第1通信装置211にはネットワーク40を介して制御装置101が接続され、第2通信装置212には監視装置30が接続され、第3通信装置213には制御装置10nが接続されていてもよい。
【0035】
メモリ25はパケット複製モジュール201を備え、パケット複製モジュール201をCPU24が呼び出して通信パケット1200を複製するパケット複製処理を行う。記憶装置22にはパケット複製処理に使用されるテーブルなどが格納される。
【0036】
入出力装置23は、キーボード、マウスおよびディスプレイなどであり、入出力装置23を使用してユーザは複製する通信パケット1200に付加情報を追加したり送信先の情報を変更したりしてもよい。また、入出力装置23は、LEDおよびプッシュボタンなどでもよいものとする。
【0037】
図4に監視装置30のハードウェア構成を示す。監視装置30は、通信装置31、入出力装置32、記憶装置33、CPU34、メモリ35および記憶媒体37を読み込む読取装置36を備え、各装置間がバスなどの内部通信線38で連結される。
【0038】
通信装置31はネットワークカードなどであり、通信モジュール301を備える。入出力装置32はキーボード、マウスおよびディスプレイなどであり、入出力装置32を使用してユーザはマウスおよびキーボードで条件を指定しディスプレイに出力モジュール306が出力する監視結果を表示することでログ解析システムの監視を行う。また、入出力装置32は、LEDやプッシュボタンなどでもよいものとする。
【0039】
メモリ35は通信パケット取得モジュール302、パターン抽出モジュール303、異常パターン抽出モジュール304、異常パケット復元モジュール305、出力モジュール306およびモード管理モジュール310を備える。記憶装置33は、通信パケット格納モジュール307、定常パターン格納モジュール308および異常パケット格納モジュール309を備える。CPU34は、メモリ35が備える各モジュールを呼び出して監視処理を行う。監視処理を行う際、記憶装置33が備える各モジュールが使用される。
【0040】
(1−2)ログ解析機能本実施形態のログ解析システムにおけるログ解析機能について説明する。ログ解析機能は、例えば、監視装置30の記憶装置33に格納されたプログラムがメモリ35にロードされ、CPU34により実行される。
【0041】
また、各プログラムは予め記憶装置33に格納されても良いし、他の記憶媒体または通信媒体(ネットワークまたはネットワークを伝搬する搬送波)を介して、必要なときに導入されても良い。
【0042】
図5に、第1の実施の形態によるログ解析システムの試運転時の実施処理の流れを示すシーケンス図を示す。
【0043】
監視装置30のモード管理モジュール310は、監視装置30の動作モードを初期モードに設定する。ここで、動作モードが初期モードに設定できない、または、以降の処理が初期モードに設定されないまま実行されようとする場合には、以降の処理を中止しても良い。
【0044】
制御装置101は制御処理モジュール1011で制御コマンドを生成し、通信モジュール1021を介してネットワーク装置20へ制御コマンドを送信する(SP11)。ネットワーク装置20のパケット複製モジュール201は、制御装置101からの制御コマンドを、第1通信モジュール202を介して取得し、通信パケット1200として制御コマンドを複製する。
【0045】
第2通信モジュール203は、パケット複製モジュール201が複製した制御コマンドを、監視装置30へ送信する(SP12)。また第3通信モジュール204は、パケット複製モジュール201が複製した制御コマンドを、制御装置10nへ送信する(SP13)。
【0046】
監視装置30の通信パケット取得モジュール302は、通信モジュール301を介して制御コマンドを取得すると、受信時刻および受信サイズを取得し、通信パケット格納モジュール307へ通信パケット1200を格納する。
【0047】
制御装置10nの制御処理モジュール101nは、通信モジュール102nを介して制御コマンドを取得すると、制御コマンドに基づき処理を行い、制御コマンドに対する応答を、通信モジュール102nを介してネットワーク装置20へ返送する(SP14)。
【0048】
ネットワーク装置20のパケット複製モジュール201は、制御装置10nからの制御コマンドに対する応答を、第3通信モジュール204を介して取得すると、制御コマンドに対する応答を複製する。
【0049】
複製した制御コマンドに対する応答を、第2通信モジュール203を介して監視装置30へ送信する(SP15)。また複製した制御コマンドに対する応答を、第1通信モジュール202を介して制御装置101へ送信する(SP16)。
【0050】
監視装置30の通信パケット取得モジュール302は、通信モジュール301を介して制御コマンドに対する応答を取得すると、受信時刻および受信サイズを取得し、通信パケット格納モジュール307へ通信パケット1200を格納する。
【0051】
監視装置30の通信パケット取得モジュール302は、例えば、監視装置30が外部から電気的な信号をスイッチなどから受けること、通信によって制御コマンドなどで指示を与えられること、または、予め送受信される通信パケット数が定まっていて、その通信パケット数が流れたことによって、試運転が終了したか否かを判断する。
【0052】
図6に監視装置30におけるパターン格納処理の処理手順を示すフローチャートを示す。通信パケット取得モジュール302は、通信モジュール301を介して制御コマンドや制御コマンドに対する応答を取得すると、受信時刻および受信サイズを取得し(SP21およびSP22)、通信パケット格納モジュール307へ通信パケット1200を格納する(SP23)。
【0053】
通信パケット格納モジュール307へ通信パケット1200を格納すると、通信パケット取得モジュール302は、試運転が終了したか否かを判断する(SP24)。通信パケット取得モジュール302は、この判断で否定結果を得るとステップSP21へ戻り、ステップSP24で肯定結果を得るまでステップSP21〜ステップSP23の処理を繰り返す。この繰り返し処理により、監視装置30はログ解析システムの試運転時における通信パケット1200を取得する。
【0054】
通信パケット取得モジュール302が、試運転が終了したことによってステップSP24で肯定結果を得ると、パターン抽出モジュール303は図7に示す定常パターンを抽出するパターン抽出処理を行う(SP25)。
【0055】
パターン抽出モジュール303は、通信パケット格納モジュール307から通信パケット1200を取得する(SP251)。この際にパターン抽出モジュール303が取得する通信パケット1200は、通信パケット格納モジュール307に格納されている全ての通信パケット1200でも良いし、あらかじめ定められたデータ量に該当する通信パケット1200でも良い。
【0056】
パターン抽出モジュール303は、取得した通信パケット1200の送受信時刻とサイズが記載した、時系列に沿ったデータを生成する(SP252)。なお送受信時刻とともに記載する情報はサイズに限ったものではなく、当該時刻における通信パケット1200の送受信回数や特定のデータサイズに該当する通信パケット1200の量などでも良い。
【0057】
パターン抽出モジュール303は、生成した時系列データを周波数変換し、周波数とその強度(影響度)分布の情報を生成する(SP253)。なお周波数変換には例えばFFT(高速フーリエ変換)などの手法が利用可能である。
【0058】
パターン抽出モジュール303は、周波数変換したデータに含まれる周波数とその強度(影響度)を定常パターンとして定常パターン格納モジュール308に格納する(SP26)。モード管理モジュール310は、監視装置30の動作モードを運用モードに設定し(SP27)、監視装置30は通信パターン格納処理を終了する。なお、動作モードを設定する際に通信パケット格納モジュール307に格納した通信パケット1200を削除してもよい。
【0059】
第1の実施の形態によるログ解析システムの運用時の実施処理の流れは、図5に示すシーケンス図と概要は同じであるため、差異がある箇所についてのみ説明する。
【0060】
運用時には、モード管理モジュール310は設定を変更しない。また監視装置30はパターン格納処理の代わりに、図8に示す異常パケット格納処理を行う。通信パケット取得モジュール302は、通信モジュール301を介して制御コマンドや制御コマンドに対する応答を取得すると、受信時刻および受信サイズを取得し(SP31およびSP32)、通信パケット格納モジュール307へ通信パケット1200を格納する(SP33)。
【0061】
通信パケット格納モジュール307へ通信パケット1200を格納すると、通信パケット取得モジュール302は、運用状態に設定されてから一定時間が経過したか否かを判断する(SP34)。なおステップSP34の判断の条件は一定時間の経過ではなくてもよく、例えば監視装置30が外部から電気的な信号をスイッチなどから受けたか否か、通信によって制御コマンドなどで指示を与えられたか否か、または、予め送受信される通信パケット数が定まっていて、その通信パケット数が流れたか否か、によって判断してもよい。
【0062】
通信パケット取得モジュール302は、この判断で否定結果を得るとステップSP31へ戻り、ステップSP34で肯定結果を得るまでステップSP31〜ステップSP33の処理を繰り返す。この繰り返し処理により、監視装置30は運用時のログ解析システムにおける通信パケット1200を取得する。
【0063】
通信パケット取得モジュール302が、一定時間が経過したことによってステップSP34で肯定結果を得ると、異常パターン抽出モジュール304は図9に示す異常パケットを抽出する異常パケット抽出処理を行う(SP35)。
【0064】
異常パターン抽出モジュール304は、通信パケット格納モジュール307から通信パケット1200を取得する(SP351)。この際にパターン抽出モジュール303が取得する通信パケット1200は、通信パケット格納モジュール307に格納されている全ての通信パケット1200でも良いし、あらかじめ定められた期間に該当する通信パケット1200でも良いし、あらかじめ定められたデータ量に該当する通信パケット1200でも良い。
【0065】
異常パターン抽出モジュール304は、取得した通信パケット1200の送受信時刻とサイズが記載した、時系列に沿ったデータを生成する(SP352)。なお送受信時刻とともに記載する情報はサイズに限ったものではなく、当該時刻における通信パケット1200の送受信回数や特定のデータサイズに該当する通信パケット1200の量などでも良い。
【0066】
異常パターン抽出モジュール304は、生成した時系列データを周波数変換し、周波数とその強度(影響度)分布の情報を生成する(SP353)。なお周波数変換には例えばFFT(高速フーリエ変換)などの手法が利用可能である。
【0067】
異常パターン抽出モジュール304は、定常パターン格納モジュール308に格納されている定常パターンを取得する(SP354)。異常パターン抽出モジュール304は、周波数変換した時系列データと取得した定常パターンとを比較し差分を抽出することで異常パターンを抽出する(SP355)。
【0068】
異常パケット復元モジュール305は、異常パターン抽出モジュール304が抽出した異常パターンを基に異常パケットを復元する(SP356)。実際上、異常パケット復元モジュール305は、異常パターンを逆FFT(逆高速フーリエ変換)などの逆周波数変換することで、時刻およびサイズの情報を取得する。
【0069】
異常パケット復元モジュール305は、取得した時刻およびサイズの情報と、異常パターン抽出モジュール304が通信パケット格納モジュール307から取得した通信パケット1200とを用いて異常パケットを復元する。
【0070】
異常パケット復元モジュール305は、復元した異常パケットを異常パケット格納モジュールへ格納する(SP36)。出力モジュール306は、異常パケット復元モジュール305が復元した異常パケットなどをディスプレイなどの画面に出力し(SP37)、監視装置30は異常パケット格納処理を終了する。
【0071】
図10に監視画面1000の構成を略線的に示す略線図を示す。監視画面1000は、出力モジュール306が出力する画面であり、通信状況1001、通信データ詳細1002、異常通信抽出結果1003および遷移ボタン1004を備える。
【0072】
通信状況1001は、通信パケット1200の日時を横軸に、サイズ情報を縦軸にしたグラフとなっているが、これに限定されない。通信データ詳細1002は、通信パケット1200の日時情報、送受信先、サイズ情報を備えるが、これに限定されない。
【0073】
異常通信抽出結果1003は、通信パケット1200のうち異常パケットと想定されるパケットの日時情報とサイズ情報が含まれるが、これに限定されるものではない。遷移ボタン1004が押下されることにより、図11に示す異常監視画面1100へと画面表示が遷移する。
【0074】
なお、監視画面1000の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、監視画面1000の構成要素の順序は上記に限定されるものではない。
【0075】
異常監視画面1100は、出力モジュール306が出力する画面であり、異常パケット概要1101、異常パケット詳細1102および遷移ボタン1103を備える。異常パケット概要1101は、日時情報を横軸に、単位時間あたりの異常パケット数を縦軸にしたグラフとなっているが、これに限定されるものではなく、例えば縦軸をサイズ情報としてもよい。
【0076】
異常パケット詳細1102は、異常パケットの日時情報、送受信先、実際に送受信されたデータ情報が含まれるが、これに限定されるものではない。なお、異常監視画面1100の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、異常監視画面1100の構成要素の順序は上記に限定されるものではない。
【0077】
なお上記では監視画面1000と異常監視画面1100は別の画面表示としたが、監視画面1000の遷移ボタン1004の代わりに、異常パケット概要1101、異常パケット詳細1102を表示してもよいものとする。
【0078】
図12に通信パケット1200の構成を示す概念図を示す。通信パケット1200は通信パケット格納モジュール307に格納され、複数であり、パケットを受信した受信日時1201、パケットのサイズ1202およびパケットのバイナリデータであるパケットデータ1203を備える。
【0079】
通信パケット1200の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、通信パケット1200の構成要素の順序は上記に限定されるものではない。
【0080】
図13に通信パターン1300の構成を示す概念図を示す。通信パターン1300は、監視装置30の定常パターン格納モジュール308に格納されている定常パターンや異常パターン抽出モジュール304によって抽出される異常パターンなどである。
【0081】
通信パターン1300は、通信の発生する周期1301とその周期1301を構成するデータの占める割合を示す強度である影響度1302から構成される。ここで、通信パターン1300の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、通信パターン1300の構成要素の順序は上記に限定されるものではない。
【0082】
図14に通信パターン1300の周波数と強度の分布を示す概念図を示す。分布グラフ1401は通信パターン1300を、縦軸を強度とし、横軸を周波数(Hz)としたグラフである。分布グラフ1402は定常パターンをグラフ化しており、分布グラフ1403は異常パターンをグラフ化している。
【0083】
ここでは、通信パターン1300として、1Hz(影響度が15)、5Hz(影響度が10)、10Hz(影響度が5)および15Hz(影響度が10)を取得したとし、定常パターンが1Hz(影響度が15)、5Hz(影響度が10)および15Hz(影響度が10)の場合、10Hz(影響度が5)を異常パターンとして抽出している。
【0084】
(1−3)本実施の形態の効果以上のように本実施の形態のログ解析システムでは、監視装置において、制御システムの試運転時などに収集した定常的な動作パターンに関連するログを除外したログデータを出力することにより、異常検知や対処に必要となる情報を効果的に抽出するようにした。
【0085】
従って、本ログ解析システムでは、不正アクセスから制御システムをより効果的に防衛することできるログ解析システムおよびその方法を実現できる。
【0086】
(2)第2の実施の形態第1の実施の形態では、企業内ネットワークなどの安全性の高いネットワーク40のみで接続されたログ解析システムについて説明したが、図15に示すインターネットなどの外部ネットワーク70を通して、制御システムの外のネットワークでログ解析を行ってもよい。第1の実施の形態との差分について説明する。
【0087】
制御装置10、ネットワーク装置20およびネットワーク40に関しては第1の実施の形態と同様であるため、説明を省略する。本実施の形態では、監視装置30に相当する装置は、収集装置50および監視センタ60である。収集装置50および監視センタ60のハードウェア構成は監視装置30と同様であるため、説明を省略する。
【0088】
収集装置50は、収集装置501〜50nの複数個あり、レイヤ2スイッチやサーバなどの通信パケット1200を収集する装置であり、通信モジュール501、通信パケット取得モジュール502、パターン抽出モジュール503、異常パターン抽出モジュール504、異常パケット復元モジュール505、外部通信モジュール506、通信パケット格納モジュール507、定常パターン格納モジュール508およびモード管理モジュール509を備える。
【0089】
通信モジュール501、通信パケット取得モジュール502、パターン抽出モジュール503、異常パターン抽出モジュール504および異常パケット復元モジュール505は通信モジュール301、通信パケット取得モジュール302、パターン抽出モジュール303、異常パターン抽出モジュール304および異常パケット復元モジュール305と同等であるため、説明を省略する。
【0090】
通信パケット格納モジュール507、定常パターン格納モジュール508およびモード管理モジュール509は通信パケット格納モジュール307、定常パターン格納モジュール308およびモード管理モジュール310と同等であるため、説明を省略する。外部通信モジュール506は外部ネットワーク70を介して他の収集装置50の外部通信モジュール506および監視センタと通信を行う。
【0091】
なおそれぞれの収集装置50が通信モジュール501n、通信パケット取得モジュール502n、パターン抽出モジュール503n、異常パターン抽出モジュール504n、異常パケット復元モジュール505n、外部通信モジュール506n、通信パケット格納モジュール507n、定常パターン格納モジュール508nおよびモード管理モジュール509nといった各モジュールを備える。通信モジュール501nは例えばネットワーク装置20の第4通信モジュールと通信する。
【0092】
監視センタ60は、出力モジュール601、集約異常パケット格納モジュール602および通信モジュール603を備える。通信モジュール603は外部ネットワーク70を介して、収集装置50から異常パケットを取得する。集約異常パケット格納モジュール602は、それぞれの収集装置50から取得した異常パケットを格納する。出力モジュール601は、それぞれの収集装置50から取得した異常パケットを出力する。
【0093】
出力モジュール601がディスプレイなどに出力する出力画面については第1の実施の形態で説明した通りであるが、複数の収集装置の結果を示すため、収集装置毎に監視画面があってもよいし、収集装置の識別情報を付加して表示してもよい。
【0094】
本実施の形態によるログ解析システムの試運転時の実施処理の流れは、図5に示すシーケンス図の流れと同じであるため、説明を省略する。なお、監視装置30のモード管理モジュール310の代わりに、収集装置50のモード管理モジュール509が動作モードを初期モードに設定する。
【0095】
第2の実施の形態によるログ解析システムの運用時の実施処理の流れは、第2の実施の形態によるログ解析システムの運用時の実施処理の流れと概要は同じであるため、差異がある箇所についてのみ図16を用いて説明する。
【0096】
ステップSP41〜ステップSP46は、監視装置30を収集装置50に置き換えるとステップSP11〜ステップSP16と同様である。収集装置50の外部通信モジュール506は異常パケット復元モジュール505が復元した異常パケットを監視センタ60へ送信する(SP47)。
【0097】
本実施の形態においては、処理を収集装置50および監視センタ60で分けるため処理負荷が分散し高速な処理が実現できる。
【0098】
(3)第3の実施の形態第2の実施の形態では、収集装置50から異常パケットを監視センタ60へ送信したが、本実施の形態においては、図17に示すように、収集装置50は通信パケット1200を監視センタ60へ送信し、監視センタ60で異常パターンの抽出および異常パケットの復元を行う。
【0099】
制御装置10、ネットワーク装置20およびネットワーク40に関しては第1の実施の形態と同様であるため、説明を省略する。収集装置50および監視センタ60のハードウェア構成は第2の実施の形態と同様であるため、説明を省略する。
【0100】
収集装置50は、収集装置501〜50nであり、レイヤ2スイッチやサーバなどの通信パケット1200を収集する装置であり、通信モジュール501、通信パケット取得モジュール502、外部通信モジュール506、通信パケット格納モジュール507、およびモード管理モジュール509を備える。
【0101】
通信モジュール501、通信パケット取得モジュール502、外部通信モジュール506、通信パケット格納モジュール507およびモード管理モジュール509は第2の実施の形態と同等であるため、説明を省略する。
【0102】
監視センタ60は、レイヤ2スイッチやサーバなどのログ解析システムを監視する装置であり、出力モジュール601、集約異常パケット格納モジュール602、通信モジュール603、パターン抽出モジュール604、異常パターン抽出モジュール605、異常パケット復元モジュール606、および定常パターン格納モジュール607を備える。
【0103】
ログ解析システムの試運転時には、パターン抽出モジュール604は、通信モジュール603および外部ネットワーク70を介して、収集装置50から通信パケット1200を取得する。運用時には、異常パターン抽出モジュール605は、通信モジュール603および外部ネットワーク70を介して、収集装置50から通信パケット1200を取得する。
【0104】
出力モジュール601がディスプレイなどに出力する出力画面については第2の実施の形態で説明した通りである。
【0106】
最初に収集装置50のモード管理モジュール509は、収集装置50の動作モードを初期モードに設定する。ここで、動作モードが初期モードに設定できない、または、以降の処理が初期モードに設定されないまま実行されようとする場合には、以降の処理を中止しても良い。
【0107】
次に監視センタ60のモード管理モジュール608は、監視センタ60の動作モードを初期モードに設定する。ここで、動作モードが初期モードに設定できない、または、以降の処理が初期モードに設定されないまま実行されようとする場合には、以降の処理を中止しても良い。
【0108】
ステップSP51〜ステップSP57はステップSP41〜ステップSP47と同様である。収集装置50の外部通信モジュール506から通信パケット1200が監視センタ60の通信モジュール603に送信される(SP57)。
【0109】
監視センタ60の通信モジュール603が通信パケット1200を受信すると、監視センタは各処理を行ったのち、モード管理モジュール608は、監視センタ60の動作モードを運用モードに設定し、監視センタ60の通信モジュール603は収集装置50の外部通信モジュール506へ応答を返送する(SP58)。
【0110】
収集装置50の外部通信モジュール506が応答を受信すると、モード管理モジュール509は収集装置50の動作モードを運用モードに設定する。
【0111】
本実施の形態によるログ解析システムの運用時の実施処理の流れは、第2の実施の形態によるログ解析システムの運用時の実施処理の流れと同じであるため、説明を省略する。
【0112】
本実施の形態においては、処理を収集装置50および監視センタ60で分けるため処理が分散し高速な処理が実現できる。
【0113】
(4)その他の実施の形態なお上述の第1、第2および第3の実施の形態においては、監視装置30、収集装置50およびネットワーク装置20が別装置である場合について述べたが、本発明はこれに限らず、例えば監視装置30や収集装置50内にネットワーク装置20の機能が含まれている場合や、制御装置10や監視装置30や収集装置50にネットワーク40との通信機能が含まれておらず、別の装置を経由してネットワーク40と通信を行うようにしてもよい。
【0114】
また上述の第1、第2および第3の実施の形態においては、ネットワーク40や外部ネットワーク70にフィルタをかけていない場合について述べたが、本発明はこれに限らず、ネットワーク40や外部ネットワーク70にフィルタをかけてもよい。
【符号の説明】
【0115】
10:制御装置、11:通信装置、12:入出力装置、13:記憶装置、14:CPU、15:メモリ、16:内部通信線、101:制御処理モジュール、102:通信モジュール、20:ネットワーク装置、21:通信装置、211:第1通信装置、212:第2通信装置、213:第3通信装置、22:記憶装置、23:入出力装置、24:CPU、25:メモリ、26:内部通信線、201:パケット複製モジュール、202:第1通信モジュール、203:第2通信モジュール、204:第3通信モジュール、30:監視装置、31:通信装置、32:入出力装置、33:記憶装置、34:CPU、35:メモリ、36:読取装置、37:記憶媒体、38:内部通信線、301:通信モジュール、302:通信パケット取得モジュール、303:パターン抽出モジュール、304:異常パターン抽出モジュール、305:異常パケット復元モジュール、306:出力モジュール、307:通信パケット格納モジュール、308:定常パターン格納モジュール、309:異常パケット格納モジュール、310:モード管理モジュール、50:収集装置、501:通信モジュール、502:通信パケット取得モジュール、503:パターン抽出モジュール、504:異常パターン抽出モジュール、505:異常パケット復元モジュール、506:外部通信モジュール、507:通信パケット格納モジュール、508:定常パターン格納モジュール、509:モード管理モジュール、60:監視センタ、601:出力モジュール、602、集約異常パケット格納モジュール、603:通信モジュール、604:パターン抽出モジュール、605:異常パターン抽出モジュール、606:異常パケット復元モジュール、607:定常パターン格納モジュール、608:モード管理モジュール、70:外部ネットワーク。