知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-08-16
(45)【発行日】2022-08-24
(54)【発明の名称】不正アクセス監視装置および方法
(51)【国際特許分類】
H04L 12/66 20060101AFI20220817BHJP
H04L 12/22 20060101ALI20220817BHJP
G06F 21/55 20130101ALI20220817BHJP
【FI】
H04L12/66
H04L12/22
G06F21/55
【請求項の数】
8
(21)【出願番号】P 2018184048
(22)【出願日】2018-09-28
(65)【公開番号】P2020053928
(43)【公開日】2020-04-02
【審査請求日】2021-07-28
(73)【特許権者】
【識別番号】000006666
【氏名又は名称】アズビル株式会社
(74)【代理人】
【識別番号】100098394
【弁理士】
【氏名又は名称】山川 茂樹
(74)【代理人】
【識別番号】100064621
【弁理士】
【氏名又は名称】山川 政樹
(72)【発明者】
【氏名】太田 貴彦
【審査官】佐々木 洋
(56)【参考文献】
【文献】特開2007-074383(JP,A)
【文献】特開2007-300263(JP,A)
【文献】国際公開第2016/075825(WO,A1)
【文献】特開2015-012594(JP,A)
【文献】特開2017-208598(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/66
H04L 12/22
G06F 21/55
(57)【特許請求の範囲】
【請求項1】
施設に設置されている各種設備を、通信回線に接続された複数の機器を用いて管理する施設管理システムで用いられて、前記通信回線を介して前記複数の機器間でやり取りされる監視対象パケットを検出することにより、前記複数の機器に対する不正アクセスを監視する不正アクセス監視装置であって、前記施設に設けられている特定区画に存在する区画人数を取得する区画人数取得部と、
不正アクセスのない正常状態における各時間帯に、前記通信回線から検出される前記監視対象パケットの検出状況と、各時間帯に前記施設内の特定区画に存在する人の区画人数との関係を示す推定モデルを記憶するように構成された記憶部と、
前記通信回線を介して前記複数の機器間でやり取りされる監視対象パケットを検出するように構成されたパケット検出部と、
前記区画人数取得部で取得した指定時間帯における区画人数と前記推定モデルとに基づいて、前記正常状態での前記指定時間帯に検出される前記監視対象パケットの検出状況を推定し、得られた検出状況を正常値として特定するように構成された正常値特定部と、
対象時間帯に前記パケット検出部で検出された前記監視対象パケットの検出状況と、前記正常値特定部で特定された前記対象時間帯における正常値とを比較し、得られた比較結果に基づいて前記不正アクセスの有無を判定するように構成された不正アクセス判定部と
を備えることを特徴とする不正アクセス監視装置。
【請求項2】
請求項1に記載の不正アクセス監視装置において、前記不正アクセス判定部で前記不正アクセスがないと判定された時間帯に、前記パケット検出部で新たに検出された前記監視対象パケットの検出状況と、前記区画人数取得部で取得した前記時間帯における前記区画人数とに基づいて、前記推定モデルを更新するように構成された推定モデル更新部をさらに備えることを特徴とする不正アクセス監視装置。
【請求項3】
請求項1~請求項2のいずれかに記載の不正アクセス監視装置において、前記不正アクセス判定部は、前記機器のうち、前記不正アクセスありと判定した前記対象時間帯における前記監視対象パケットの送信数または受信数が大きい順に、規定数分の機器を不正アクセスを行った機器の候補として特定することを特徴とする不正アクセス監視装置。
【請求項4】
請求項1~請求項3のいずれかに記載の不正アクセス監視装置において、前記不正アクセス判定部は、前記機器のうち、前記不正アクセスありと判定した前記対象時間帯における前記監視対象パケットの送信数または受信数が小さい順に、規定数分の機器を不正アクセスを被った機器の候補として特定することを特徴とする不正アクセス監視装置。
【請求項5】
施設に設置されている各種設備を、通信回線に接続された複数の機器を用いて管理する施設管理システムで用いられる不正アクセス監視装置で、前記通信回線を介して前記複数の機器間でやり取りされる監視対象パケットを検出することにより、前記複数の機器に対する不正アクセスを監視するための不正アクセス監視方法であって、前記施設に設けられている特定区画に存在する区画人数を取得する区画人数取得ステップと、
記憶部が、不正アクセスのない正常状態における各時間帯に、前記通信回線から検出される前記監視対象パケットの検出状況と、各時間帯に前記施設内の特定区画に存在する人の区画人数との関係を示す推定モデルを記憶する記憶ステップと、
パケット検出部が、前記通信回線を介して前記複数の機器間でやり取りされる監視対象パケットを検出するパケット検出ステップと、
正常値特定部が、前記区画人数取得ステップで取得した指定時間帯における区画人数と前記推定モデルとに基づいて、前記正常状態での前記指定時間帯に検出される前記監視対象パケットの検出状況を推定し、得られた検出状況を正常値として特定する正常値特定ステップと、
不正アクセス判定部が、対象時間帯に前記パケット検出部で検出された前記監視対象パケットの検出状況と、前記正常値特定部で特定された前記対象時間帯における正常値とを比較し、得られた比較結果に基づいて前記不正アクセスの有無を判定する不正アクセス判定ステップと
を備えることを特徴とする不正アクセス監視方法。
【請求項6】
請求項5に記載の不正アクセス監視方法において、
前記不正アクセス判定ステップで前記不正アクセスがないと判定された時間帯に、前記パケット検出ステップで新たに検出された前記監視対象パケットの検出状況と、前記区画人数取得ステップで取得した前記時間帯における前記区画人数とに基づいて、前記推定モデルを更新するように構成された推定モデル更新ステップをさらに備えることを特徴とする不正アクセス監視方法。
【請求項7】
請求項5~請求項6のいずれかに記載の不正アクセス監視方法において、
前記不正アクセス判定ステップは、前記機器のうち、前記不正アクセスありと判定した前記対象時間帯における前記監視対象パケットの送信数または受信数が大きい順に、規定数分の機器を不正アクセスを行った機器の候補として特定することを特徴とする不正アクセス監視方法。
【請求項8】
請求項5~請求項7のいずれかに記載の不正アクセス監視方法において、
前記不正アクセス判定ステップは、前記機器のうち、前記不正アクセスありと判定した前記対象時間帯における前記監視対象パケットの送信数または受信数が小さい順に、規定数分の機器を不正アクセスを被った機器の候補として特定することを特徴とする不正アクセス監視方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、機器に対する不正アクセスを監視する不正アクセス監視技術に関する。
【背景技術】
【0002】
オフィスビルやテナントビルなどの施設では、施設に設置されている、空調・熱源・照明・入退室管理、受変電・防災・セキュリティ・エレベーターなどの各種設備を、通信回線に接続された複数の機器を用いて管理する、ビルシステムが導入されつつある(例えば、特許文献1など参照)。
近年、このようなビルシステムなどの施設管理システムを対象とした、いわゆるクラッキングと呼ばれる不正アクセスに関するニュースが、年々増加している。このような不正アクセスにより設備管理システムが、システム破壊、情報窃取、Webページ改ざんなどのサイバー攻撃を受けると、その影響が施設全体に広がり、甚大な被害を被ってしまうことが予想される。
近年、このようなビルシステムなどの施設管理システムを対象とした、いわゆるクラッキングと呼ばれる不正アクセスに関するニュースが、年々増加している。このような不正アクセスにより設備管理システムが、システム破壊、情報窃取、Webページ改ざんなどのサイバー攻撃を受けると、その影響が施設全体に広がり、甚大な被害を被ってしまうことが予想される。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2007-199798号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、このような施設管理システムは、多くの場合、安定稼働を最優先としている。このため、既存の施設管理システムにおいて、各機器に対する、OSのアップデートやセキュリティ対策ソフトをインストール、さらには、新たなセキュリティ機器の導入は、困難である場合が非常に多い。また、施設管理システムの各機器は、多種多様なOS/プラットフォーム/ソフトウェアで作成されているので、全ての機器にエージェントを入れてセキュリティを確保するのも困難である。そのため、不正アクセスを検知することも難しい状況である。
【0005】
一般に、このような施設管理システムにおける不正検知に関する従来技術としては、ファイヤーウォール、ブラックリスト方式やホワイトリスト方式の不正検知などの不正検知技術が存在する。しかし、これら従来技術では、施設管理システムの機器がクラッキングにより乗っ取られた場合、その機器を用いた不正アクセス行為については検知困難であるという問題点があった。
【0006】
本発明はこのような課題を解決するためのものであり、機器に対する不正アクセスを監視できる不正アクセス監視技術を提供することを目的としている。
【課題を解決するための手段】
【0007】
このような目的を達成するために、本発明にかかる不正アクセス監視装置は、施設に設置されている各種設備を、通信回線に接続された複数の機器を用いて管理する施設管理システムで用いられて、前記通信回線を介して前記複数の機器間でやり取りされる監視対象パケットを検出することにより、前記複数の機器に対する不正アクセスを監視する不正アクセス監視装置であって、不正アクセスのない正常状態における各時間帯に、前記通信回線から検出される前記監視対象パケットの検出状況を示す推定モデルを記憶するように構成された記憶部と、前記通信回線を介して前記複数の機器間でやり取りされる監視対象パケットを検出するように構成されたパケット検出部と、前記推定モデルに基づいて、前記正常状態での指定時間帯に検出される前記監視対象パケットの検出状況を推定し、得られた検出状況を正常値として特定するように構成された正常値特定部と、対象時間帯に前記パケット検出部で検出された前記監視対象パケットの検出状況と、前記正常値特定部で特定された前記対象時間帯における正常値とを比較し、得られた比較結果に基づいて前記不正アクセスの有無を判定するように構成された不正アクセス判定部とを備えている。
【0008】
また、本発明にかかる上記不正アクセス監視装置の一構成例は、前記施設に設けられている特定区画に存在する区画人数を取得する区画人数取得部をさらに備え、前記記憶部は、前記推定モデルとして、前記正常状態における各時間帯に、前記通信回線から検出される前記監視対象パケットの検出状況と、各時間帯に前記施設内の特定区画に存在する人の区画人数との関係を示す推定モデルを記憶し、前記正常値特定部は、前記区画人数取得部で取得した前記指定時間帯における区画人数と前記推定モデルとに基づいて、前記正常状態での前記指定時間帯に検出される前記監視対象パケットの検出状況を推定し、得られた検出状況を前記正常値として特定するようにしたものである。
【0009】
また、本発明にかかる上記不正アクセス監視装置の一構成例は、前記正常値特定部が、前記正常値を特定する際、推定した前記正常状態での前記指定時間帯に検出される前記監視対象パケットの検出状況に、当該検出状況に関する変動幅を加えた値を、前記正常値として特定するようにしたものである。
【0010】
また、本発明にかかる上記不正アクセス監視装置の一構成例は、前記不正アクセス判定部で前記不正アクセスがないと判定された時間帯に、前記パケット検出部で新たに検出された前記監視対象パケットの検出状況に基づいて、前記推定モデルを更新するように構成された推定モデル更新部をさらに備えている。
【0011】
また、本発明にかかる上記不正アクセス監視装置の一構成例は、前記不正アクセス判定部で前記不正アクセスがないと判定された時間帯に、前記パケット検出部で新たに検出された前記監視対象パケットの検出状況と、前記区画人数取得部で取得した前記時間帯における前記区画人数とに基づいて、前記推定モデルを更新するように構成された推定モデル更新部をさらに備えている。
【0012】
また、本発明にかかる上記不正アクセス監視装置の一構成例は、前記パケット検出部が、前記通信回線から検出した前記監視対象パケットのうち、前記記憶部の除外リストに登録されている識別情報を含むパケットを除外するようにしたものである。
【0013】
また、本発明にかかる上記不正アクセス監視装置の一構成例は、前記不正アクセス判定部が、前記機器のうち、前記不正アクセスありと判定した前記対象時間帯における前記監視対象パケットの送信数または受信数が大きい順に、規定数分の機器を不正アクセスを行った機器の候補として特定するようにしたものである。
【0014】
また、本発明にかかる上記不正アクセス監視装置の一構成例は、前記不正アクセス判定部が、前記機器のうち、前記不正アクセスありと判定した前記対象時間帯における前記監視対象パケットの送信数または受信数が小さい順に、規定数分の機器を不正アクセスを被った機器の候補として特定するようにしたものである。
【0015】
また、本発明にかかる不正アクセス監視方法は、施設に設置されている各種設備を、通信回線に接続された複数の機器を用いて管理する施設管理システムで用いられる不正アクセス監視装置で、前記通信回線を介して前記複数の機器間でやり取りされる監視対象パケットを検出することにより、前記複数の機器に対する不正アクセスを監視するための不正アクセス監視方法であって、記憶部が、不正アクセスのない正常状態における各時間帯に、前記通信回線から検出される前記監視対象パケットの検出状況を示す推定モデルを記憶する記憶ステップと、パケット検出部が、前記通信回線を介して前記複数の機器間でやり取りされる監視対象パケットを検出するパケット検出ステップと、正常値特定部が、前記推定モデルに基づいて、前記正常状態での指定時間帯に検出される前記監視対象パケットの検出状況を推定し、得られた検出状況を正常値として特定する正常値特定ステップと、不正アクセス判定部が、対象時間帯に前記パケット検出部で検出された前記監視対象パケットの検出状況と、前記正常値特定部で特定された前記対象時間帯における正常値とを比較し、得られた比較結果に基づいて前記不正アクセスの有無を判定する不正アクセス判定ステップとを備えている。
【発明の効果】
【0016】
本発明によれば、既存の施設管理システムにおいて、各機器に対する、OSのアップデートやセキュリティ対策ソフトをインストール、さらには、新たなセキュリティ機器の導入を必要とすることなく、不正アクセスを監視することが可能となる。また、ファイヤーウォール、ブラックリスト方式やホワイトリスト方式の不正検知などの不正検知技術では困難であった、クラッキングにより乗っ取られた機器からの不正アクセスについても監視することが可能となる。
【図面の簡単な説明】
【0017】
【図1】不正アクセス監視装置の構成を示すブロック図である。
【図2】推定モデルの構成例である。
【図3】不正アクセス判定例を示す説明図である。
【図4】不正アクセス監視処理を示すフローチャートである。
【図5】推定モデル更新処理を示すフローチャートである。
【発明を実施するための形態】
【0018】
[発明の原理]
まず、本発明の原理について説明する。
一般に、クラッキングにおいて、最初に行われる行為は事前調査である。例えば、施設に設置されている各種設備を、通信回線に接続された複数の機器を用いて管理する施設管理システムにおいて、いずれかの機器を乗っ取って他の機器に不正アクセスを行う場合、事前調査において、通信回線にどのような機器が接続されているか調査する。
まず、本発明の原理について説明する。
一般に、クラッキングにおいて、最初に行われる行為は事前調査である。例えば、施設に設置されている各種設備を、通信回線に接続された複数の機器を用いて管理する施設管理システムにおいて、いずれかの機器を乗っ取って他の機器に不正アクセスを行う場合、事前調査において、通信回線にどのような機器が接続されているか調査する。
【0019】
乗っ取られた不正機器は、例えば、ブロードキャスト、マルチキャスト、総当たりなどの通信手法で、通信回線へ存在確認などの調査用パケットを送信する。通信回線に設属されている他の機器は、不正機器からの調査用パケットを受信した場合、自己の制御情報を含む応答パケットを不正機器へ返送する。
【0020】
例えば、BACnet(Building Automation and Control Networking protocol)システムなどのビルシステムでは、システム内の機器が正常か異常かを判定する仕組みとして、各機器は、ある一定間隔で自己が正常に動作していることを通知するための通知パケット(i-amパケット)を送信しており、ある一定時間にその通知パケットが受信できない場合に、異常と判定する仕組みを備えている。
【0021】
クラッカーは、このような仕組みを利用して、乗っ取った不正機器からブロードキャストで各機器が正常であるかの問い合わせを行う探索パケット(BACnet機器がi-amの返答を返すwho-isパケット)を送信し、当該探索パケットに対する通知パケット(i-amパケット)を検出することにより、その送信元を攻撃対象となるBACnet機器として特定している。このため、不正機器が探索パケットを送信すると、それに対する応答パケットが各機器から返送されるため、通常より多くのパケットが通信回線上でやり取りされることになる。
【0022】
したがって、不正機器がこのような事前調査を行うと通信回線を介してやり取りされるパケットの検出状況、例えばパケット数またはパケット数に関する統計値は、不正のない正常状態と比較して一時的に増加することとなる。一方、クラッキングにより通信遮断や機器の故障などが発生した場合、通信回線を介してやり取りされるパケットの検出状況は、不正のない正常時と比較して減少する。特に、施設管理システムなどのように、多くの機器が接続されている大規模な環境である場合、機器の数に応じて検出状況は顕著に増減する。DOS攻撃においても同様である。
【0023】
本発明は、このような、乗っ取られた不正機器による不正アクセスの有無と、通信回線を介して機器間でやり取りされる監視対象パケットの検出状況の変化との関係に着目し、不正のない正常状態の各時間帯における検出状況を示す推定モデルを予め作成しておき、この推定モデルから得られた正常状態での指定時間帯における検出状況を示す基準値と、指定時間帯に通信回線から検出された検出状況とを比較することにより、不正アクセスの有無を判定するようにしたものである。なお、以下では、監視対象パケットの検出状況として、監視対象パケットのパケット数を用いた場合を例として説明するが、これに限定されるものではない。例えば、一定の検出期間内に検出される監視対象パケットのパケット数に関する、平均値、最大値、最小値、中央値などの一般的な統計値を検出状況として用いてもよい。
【0024】
次に、本発明の一実施の形態について図面を参照して説明する。
[不正アクセス監視装置]
まず、図1を参照して、本実施の形態にかかる不正アクセス監視装置10について説明する。図1は、不正アクセス監視装置の構成を示すブロック図である。
[不正アクセス監視装置]
まず、図1を参照して、本実施の形態にかかる不正アクセス監視装置10について説明する。図1は、不正アクセス監視装置の構成を示すブロック図である。
【0025】
この不正アクセス監視装置10は、全体としてサーバ装置や産業用コントローラなどの情報処理装置からなり、施設に設置されている各種設備を、通信回線Lに接続された複数の機器20を用いて管理する施設管理システム1で用いられて、通信回線Lを介して機器20間でやり取りされる監視対象パケットを検出することにより、機器20に対する不正アクセスを監視する機能を有している。
【0026】
図1に示すように、不正アクセス監視装置10は、主な機能部として、通信I/F部11、記憶部12、パケット検出部13、区画人数取得部14、正常値特定部15、不正アクセス判定部16、および推定モデル更新部17を備えており、内部バスBを介してデータやり取り可能に接続されている。これら機能部のうち、パケット検出部13、区画人数取得部14、正常値特定部15、不正アクセス判定部16、および推定モデル更新部17は、CPUとプログラムとが協働することにより実現されている。
【0027】
通信I/F部11は、通信回線Lを介して機器20や入退室管理システム30との間でパケットを送受信する機能を有している。
【0028】
記憶部12は、ハードディスクや半導体メモリなどの記憶装置からなり、不正アクセス監視処理に用いる各種データやプログラムを記憶する機能を有している。記憶部12で記憶する主な処理データとして、除外リストと推定モデルがある。
【0029】
除外リストは、監視対象パケットのうちから除外すべきパケットを特定するための識別情報が登録されている、いわゆるホワイトリストである。不正アクセスに影響を受けないパケットについては、監視対象パケットとして検出する必要はない。このため、このようなパケットを識別するための識別情報を、予め除外リストに登録しておけばよい。識別情報の具体例としては、パケットに含まれるIPアドレス、ポート番号、機器制御プロトコルで用いられる特定のサービスパケットを示すパケットIDなどがある。
【0030】
推定モデルは、不正アクセスのない正常状態における各時間帯に、通信回線Lから検出される監視対象パケットのパケット数を推定するための推定モデルである。この推定モデルについては、関数で構築してもよくデータベースなどの他の一般的な手法で構築してもよい。図2は、推定モデルの構成例である。図2に示す推定モデルは、特定区画に存在する人の区画人数、時間帯、および監視対象パケットのパケット数からなる3つの変数を持つ3次元推定モデルである。
【0031】
一般に、ビルを利用する人の人数は、区画や時間帯によって変化するため、ビルシステムの制御も変化し、機器間でやり取りするパケット数も変化する。したがって、このような推定モデルを用いることにより、区画人数と時間帯とが指定されればその条件下で検出される監視対象パケットのパケット数を推定できる。
【0032】
なお、本実施の形態では、図2に示したような、区画人数、時間帯、およびパケット数からなる3つの変数を持つ推定モデルを用いて、指定時間帯におけるパケット数を推定する場合を例として説明するが、これに限定されるものではない。少なくとも、時間帯およびパケット数からなる2つの変数を持つ2次元推定モデルを用いて、指定時間帯におけるパケット数を推定すればよい。
また、ビルを利用する人の人数は、平日、休日、祭日などの日種によっても変化するため、このような日種を時間帯に含めてもよい。あるいは、推定モデルの変数として日種を加えてもよく、日種ごとに推定モデルを作成して、切り替えて用いるようにしてもよい。
また、ビルを利用する人の人数は、平日、休日、祭日などの日種によっても変化するため、このような日種を時間帯に含めてもよい。あるいは、推定モデルの変数として日種を加えてもよく、日種ごとに推定モデルを作成して、切り替えて用いるようにしてもよい。
【0033】
また、推定モデルの変数として用いる区画人数については、1つの特定区画に関するものに限定されるものではなく、複数の特定区画に関する区画人数をそれぞれ変数として用いてもよい。これにより、精度よくパケット数を推定できる。
また、推定モデル自体を特定区画ごとに個別に作成してもよい。この際、特定区画に配置されている機器20のパケット数を変数として用いるなど、特定区画と機器20との関連性に基づいて各推定モデルを作成してもよい。これにより、高い精度でパケット数を推定できる。
また、推定モデル自体を特定区画ごとに個別に作成してもよい。この際、特定区画に配置されている機器20のパケット数を変数として用いるなど、特定区画と機器20との関連性に基づいて各推定モデルを作成してもよい。これにより、高い精度でパケット数を推定できる。
【0034】
パケット検出部13は、通信回線Lを介して機器20間でやり取りされる監視対象パケットを、通信I/F部11を介して検出(キャプチャ)する機能と、対象時間帯に得られた監視対象パケットのパケット数を取得する機能と、通信回線Lから検出した監視対象パケットのうち、記憶部12の除外リストに登録されている識別情報を含むパケットを監視対象パケットから除外する機能とを有している。
【0035】
区画人数取得部14は、施設に設けられている特定区画に存在する区画人数を取得する機能を有している。具体的な区画人数の取得手法については、例えば、施設の各区画における人の入退室を管理する入退室管理システム30から、通信回線Lおよび通信I/F部11を介して、特定区画に存在する区画人数を取得する手法が考えられる。また、入退室管理システム30に代えて、天井に配置した焦電型赤外線センサで検出した熱画像に基づいて特定区画に存在する人を検知する人検知システムから、区画人数を取得するようにしてもよい。これら、入退室管理システム30や人検知システムについては、公知のシステムを用いればよい。
【0036】
正常値特定部15は、記憶部12で記憶されている推定モデルと区画人数取得部14で取得した指定時間帯における区画人数とに基づいて、正常状態での指定時間帯に検出される監視対象パケットのパケット数を推定し、得られたパケット数を正常値として特定する機能を有している。なお、前述したように、時間帯およびパケット数からなる2つの変数を持つ推定モデルを用いる場合、記憶部12で記憶されている推定モデルに基づいて、上記パケット数を推定すればよい。
【0037】
また、正常値特定部15は、正常値を特定する際、推定した正常状態での指定時間帯に検出される監視対象パケットのパケット数に、当該パケット数に関する変動幅を加えた値を、正常値として特定する機能を有している。一般には、通信回線Lから検出される監視対象パケットのパケット数には、ある程度の誤差変動がある。このような変動幅を加えることにより、より正確に不正アクセスの有無を判定できる。
【0038】
不正アクセス判定部16は、対象時間帯にパケット検出部13で検出された監視対象パケットの検出パケット数Yと、正常値特定部15で特定された対象時間帯における正常値とを比較する機能と、得られた比較結果に基づいて不正アクセスの有無を判定する機能を有している。
【0039】
図3は、不正アクセス判定例を示す説明図である。図3には、図2の推定モデルのうち特定区画Aの区画人数がXである場合の推定モデルM(t)が示されている。推定モデルM(t)の上下には、正常値特定部15で得られる変動幅を持つ上限正常値EU(t)と下限正常値EL(t)からなる正常範囲E(t)が設けられている。EU(t)とEL(t)については、E(t)の推定誤差に基づいて計算してもよいが、E(t)に対して予め設定されている変動幅分を加減算することにより計算してもよい。なお、EU(t)とEL(t)のうち、いずれか一方のみ、例えばEU(t)のみを正常値として特定するようにしてもよい。
【0040】
不正アクセス判定部16では、判定対象となる対象時間帯tに検出した検出パケット数Y(t)を、正常値すなわち正常範囲E(t)と比較することにより、不正アクセスの有無を判定する。
例えば、対象時間帯t1の検出パケット数Y(t1)は、t1における上限正常値EU(t1)と下限正常値EL(t)との間に含まれているため、正常すなわち不正アクセスなしと判定される。
例えば、対象時間帯t1の検出パケット数Y(t1)は、t1における上限正常値EU(t1)と下限正常値EL(t)との間に含まれているため、正常すなわち不正アクセスなしと判定される。
【0041】
一方、対象時間帯t2におけるY(t2)は、EU(t2)を上回っており、クラッキングにより通信回線Lを介して機器20間で探索パケットや確認パケットがやり取りされて、正常状態よりパケット数が増大している可能性があるため、異常すなわち不正アクセスありと判定される。
また、対象時間帯t3におけるY(t3)は、EU(t3)を下回っており、クラッキングにより機器20で通信遮断や機器20の故障などが発生して、正常状態よりパケット数が低減している可能性があるため、異常すなわち不正アクセスありと判定される。
また、対象時間帯t3におけるY(t3)は、EU(t3)を下回っており、クラッキングにより機器20で通信遮断や機器20の故障などが発生して、正常状態よりパケット数が低減している可能性があるため、異常すなわち不正アクセスありと判定される。
【0042】
また、不正アクセス判定部16は、機器20のうち、不正アクセスありと判定した対象時間帯における監視対象パケットの送信数または受信数が大きい順に、規定数分の機器20を不正アクセスを行った機器20の候補として特定する機能と、機器20のうち、不正アクセスありと判定した対象時間帯における監視対象パケットの送信数または受信数が小さい順に、規定数分の機器20を不正アクセスを被った機器20の候補として特定する機能と、判定を行った対象時間帯とその前後の期間に検出した監視対象パケットを不正アクセス解析用パケットとして記憶部12に保存する機能とを有している。
【0043】
推定モデル更新部17は、不正アクセス判定部16で不正アクセスがないと判定された時間帯に、パケット検出部13で検出された監視対象パケットの検出パケット数と、区画人数取得部14で取得した時間帯における区画人数とに基づいて、推定モデルを更新する機能を有している。なお、前述したように、時間帯およびパケット数からなる2つの変数を持つ推定モデルを用いる場合、上記時間帯に検出されたパケット数に基づいて、推定モデルを更新すればよい。
【0044】
[本実施の形態の動作]
次に、本実施の形態にかかる不正アクセス監視装置10の動作について説明する。
次に、本実施の形態にかかる不正アクセス監視装置10の動作について説明する。
【0045】
[不正アクセス監視動作]
まず、図4を参照して、不正アクセス監視装置10の不正アクセス監視動作について説明する。図4は、不正アクセス監視処理を示すフローチャートである。
不正アクセス監視装置10は、予め設定されている対象時間帯tの到来に応じて、図4の不正アクセス監視処理を実行する。なお、不正アクセス監視処理の実行に際し、記憶部12には、予め推定モデルが保存されているものとする。
まず、図4を参照して、不正アクセス監視装置10の不正アクセス監視動作について説明する。図4は、不正アクセス監視処理を示すフローチャートである。
不正アクセス監視装置10は、予め設定されている対象時間帯tの到来に応じて、図4の不正アクセス監視処理を実行する。なお、不正アクセス監視処理の実行に際し、記憶部12には、予め推定モデルが保存されているものとする。
【0046】
まず、パケット検出部13は、通信回線Lを介して機器20間でやり取りされる監視対象パケットを、通信I/F部11を介して検出し(ステップS100)、対象時間帯tに得られた監視対象パケットのパケット数Y(t)を取得する(ステップS101)。この際、記憶部12の除外リストに登録されている識別情報を含むパケットを監視対象パケットから除外してもよい。
【0047】
また、区画人数取得部14は、施設に設けられている特定区画Aの対象時間帯tにおける区画人数X(t)を取得する(ステップS102)。
続いて、正常値特定部15は、記憶部12で記憶されている特定区画Aに関する推定モデルと区画人数取得部14で取得した対象時間帯tにおける区画人数X(t)とに基づいて、正常状態での対象時間帯tに検出される監視対象パケットのパケット数Y(t)を推定し、当該パケット数Y(t)に関する変動幅を加えた値、すなわち上限正常値EU(t)および下限正常値EL(t)からなる正常範囲E(t)を特定する(ステップS103)。
続いて、正常値特定部15は、記憶部12で記憶されている特定区画Aに関する推定モデルと区画人数取得部14で取得した対象時間帯tにおける区画人数X(t)とに基づいて、正常状態での対象時間帯tに検出される監視対象パケットのパケット数Y(t)を推定し、当該パケット数Y(t)に関する変動幅を加えた値、すなわち上限正常値EU(t)および下限正常値EL(t)からなる正常範囲E(t)を特定する(ステップS103)。
【0048】
この後、不正アクセス判定部16は、対象時間帯tにパケット検出部13で検出された監視対象パケットの検出パケット数Y(t)と、正常値特定部15で特定された対象時間帯tにおける正常範囲E(t)とを比較する(ステップS104)。
ここで、検出パケット数Y(t)が正常範囲E(t)内であれば(ステップS104:YES)、不正アクセスなしと判定し(ステップS105)、一連の不正アクセス判定処理を終了する。
ここで、検出パケット数Y(t)が正常範囲E(t)内であれば(ステップS104:YES)、不正アクセスなしと判定し(ステップS105)、一連の不正アクセス判定処理を終了する。
【0049】
一方、検出パケット数Y(t)が正常範囲E(t)外であれば(ステップS104:NO)、不正アクセスありと判定し(ステップS106)、一連の不正アクセス判定処理を終了する。
得られた判定結果は、記憶部12へ保存されるが、不正アクセス監視装置10の表示部(図示せず)で表示してもよく、通信I/F部11から通信回線Lを介して上位装置(図示せず)へ通知してもよい。
得られた判定結果は、記憶部12へ保存されるが、不正アクセス監視装置10の表示部(図示せず)で表示してもよく、通信I/F部11から通信回線Lを介して上位装置(図示せず)へ通知してもよい。
【0050】
[推定モデル更新動作]
次に、図5を参照して、不正アクセス監視装置10の推定モデル更新動作について説明する。図5は、推定モデル更新処理を示すフローチャートである。
不正アクセス監視装置10は、予め設定されている更新処理タイミングの到来に応じて、図5の推定モデル更新処理を実行する。更新処理タイミングは、例えば1日1回、次の日の0時など、前日の新たな各時間帯における検出パケット数Y(t)や区画人数X(t)が揃ったタイミングが相応しい。
次に、図5を参照して、不正アクセス監視装置10の推定モデル更新動作について説明する。図5は、推定モデル更新処理を示すフローチャートである。
不正アクセス監視装置10は、予め設定されている更新処理タイミングの到来に応じて、図5の推定モデル更新処理を実行する。更新処理タイミングは、例えば1日1回、次の日の0時など、前日の新たな各時間帯における検出パケット数Y(t)や区画人数X(t)が揃ったタイミングが相応しい。
【0051】
なお、推定モデル更新処理の実行に際し、記憶部12には、数日分に関する各時間帯tに関する区画人数X(t)と検出パケット数Y(t)とが保存されているものとする。この検出パケット数Y(t)は、不正アクセス判定部16で不正アクセスがないと判定された対象時間帯tに、パケット検出部13で検出された監視対象パケットの検出パケット数である。
【0052】
まず、推定モデル更新部17は、記憶部12から、数日分に関する各時間帯tに関する特定区画Aの区画人数X(t)を取得するとともに(ステップS110)、数日分に関する各時間帯tにパケット検出部13で検出された監視対象パケットの検出パケット数Y(t)を取得する(ステップS111)。
【0053】
この後、推定モデル更新部17は、これら区画人数X(t)と検出パケット数Y(t)とからなる学習データに基づいて、図2に示したような、特定区画Aに関する新たな推定モデルMを作成する(ステップS112)。これにより、前日の新たな各時間帯における新たな検出パケット数Y(t)や区画人数X(t)を考慮した、数日分の検出パケット数Y(t)や区画人数X(t)を代表する新たな推定モデルMが作成される。
続いて、推定モデル更新部17は、記憶部12に保存されている推定モデルを新たな推定モデルMで更新し(ステップS113)、一連の推定モデル更新処理を終了する。
続いて、推定モデル更新部17は、記憶部12に保存されている推定モデルを新たな推定モデルMで更新し(ステップS113)、一連の推定モデル更新処理を終了する。
【0054】
[本実施の形態の効果]
このように、本実施の形態は、記憶部12が、不正アクセスのない正常状態における各時間帯tに、通信回線Lから検出される監視対象パケットのパケット数Y(t)(検出状況)を示す推定モデルMを記憶し、不正アクセス判定部16が、対象時間帯tにパケット検出部13で検出された監視対象パケットの検出パケット数Y(t)と、正常値特定部15で特定された対象時間帯tにおける正常値E(t)とを比較し、得られた比較結果に基づいて不正アクセスの有無を判定するようにしたものである。
このように、本実施の形態は、記憶部12が、不正アクセスのない正常状態における各時間帯tに、通信回線Lから検出される監視対象パケットのパケット数Y(t)(検出状況)を示す推定モデルMを記憶し、不正アクセス判定部16が、対象時間帯tにパケット検出部13で検出された監視対象パケットの検出パケット数Y(t)と、正常値特定部15で特定された対象時間帯tにおける正常値E(t)とを比較し、得られた比較結果に基づいて不正アクセスの有無を判定するようにしたものである。
【0055】
これにより、既存の施設管理システム1において、各機器20に対する、OSのアップデートやセキュリティ対策ソフトをインストール、さらには、新たなセキュリティ機器の導入を必要とすることなく、不正アクセスを監視することが可能となる。また、ファイヤーウォール、ブラックリスト方式やホワイトリスト方式の不正検知などの不正検知技術では困難であった、クラッキングにより乗っ取られた機器20からの不正アクセスについても監視することが可能となる。
【0056】
また、本実施の形態において、区画人数取得部14が、施設に設けられている特定区画に存在する区画人数を取得し、記憶部12が、推定モデルとして、正常状態における各時間帯に、通信回線Lから検出される監視対象パケットのパケット数と、各時間帯に施設内の特定区画に存在する人の区画人数との関係を示す推定モデルを記憶し、正常値特定部15が、区画人数取得部14で取得した指定時間帯における区画人数と推定モデルとに基づいて、正常状態での指定時間帯に検出される監視対象パケットのパケット数を推定し、得られたパケット数を正常値として特定するようにしてもよい。
これにより、区画人数の増減によるパケット数の増減に対応することができ、精度よく不正アクセスの有無を判定することができる。
これにより、区画人数の増減によるパケット数の増減に対応することができ、精度よく不正アクセスの有無を判定することができる。
【0057】
また、本実施の形態において、正常値特定部15が、正常値を特定する際、推定した正常状態での指定時間帯に検出されるパケット数に、当該パケット数に関する変動幅を加えた値を、正常値として特定するようにしてもよい。
これにより、推定モデルの誤差に対応することができ、精度よく不正アクセスの有無を判定することができる。
これにより、推定モデルの誤差に対応することができ、精度よく不正アクセスの有無を判定することができる。
【0058】
また、本実施の形態において、推定モデル更新部17が、不正アクセス判定部16で不正アクセスがないと判定された時間帯に、パケット検出部13で新たに検出された監視対象パケットの検出パケット数に基づいて、推定モデルを更新するようにしてもよい。
特に、ビルシステムでは、IoT(Internet of Things)化が進む連れて、様々な機器が追加されるため、検出されるパケット数も変化し、同じ推定モデルを長期間にわたり用いることはできない。このように推定モデルを更新することにより、機器20の追加や取り外しによるパケット数の増減に対応することができ、精度よく不正アクセスの有無を判定することができる。
特に、ビルシステムでは、IoT(Internet of Things)化が進む連れて、様々な機器が追加されるため、検出されるパケット数も変化し、同じ推定モデルを長期間にわたり用いることはできない。このように推定モデルを更新することにより、機器20の追加や取り外しによるパケット数の増減に対応することができ、精度よく不正アクセスの有無を判定することができる。
【0059】
また、本実施の形態において、推定モデル更新部17が、不正アクセス判定部16で不正アクセスがないと判定された時間帯に、パケット検出部13で新たに検出された監視対象パケットの検出パケット数と、区画人数取得部14で新たに取得した上記時間帯における区画人数とに基づいて、推定モデルを更新するようにしてもよい。
これにより、機器20の追加や取り外しによるパケット数の増減に対応することができるとともに、区画人数の増減によるパケット数の増減に対応することができ、より高い精度で不正アクセスの有無を判定することができる。
これにより、機器20の追加や取り外しによるパケット数の増減に対応することができるとともに、区画人数の増減によるパケット数の増減に対応することができ、より高い精度で不正アクセスの有無を判定することができる。
【0060】
また、本実施の形態において、パケット検出部13が、通信回線Lから検出した監視対象パケットのうち、記憶部12の除外リストに登録されている識別情報を含むパケットを除外するようにしてもよい。
これにより、システムメンテナンス時に機器20との間でやり取りされるメンテナンス用パケットなど、正常状態には存在しない正規のパケットを除外することができ、精度よく不正アクセスの有無を判定することができる。
これにより、システムメンテナンス時に機器20との間でやり取りされるメンテナンス用パケットなど、正常状態には存在しない正規のパケットを除外することができ、精度よく不正アクセスの有無を判定することができる。
【0061】
また、本実施の形態において、不正アクセス判定部16が、機器20のうち、不正アクセスありと判定した対象時間帯における監視対象パケットの送信数または受信数が大きい順に、規定数分の機器20を不正アクセスを行った機器20の候補として特定するようにしてもよい。
これにより、不正アクセスの有無に加えて、不正アクセスを行った機器20の候補を特定することができ、不正アクセスに対して迅速な対応を行うことができる。
これにより、不正アクセスの有無に加えて、不正アクセスを行った機器20の候補を特定することができ、不正アクセスに対して迅速な対応を行うことができる。
【0062】
また、本実施の形態において、不正アクセス判定部16が、機器20のうち、不正アクセスありと判定した対象時間帯における監視対象パケットの送信数または受信数が小さい順に、規定数分の機器20を不正アクセスを被った機器20の候補として特定するようにしてもよい。
これにより、不正アクセスの有無に加えて、不正アクセスを被った機器20の候補を特定することができ、不正アクセスに対して迅速な対応を行うことができる。
これにより、不正アクセスの有無に加えて、不正アクセスを被った機器20の候補を特定することができ、不正アクセスに対して迅速な対応を行うことができる。
【0063】
[実施の形態の拡張]
以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しうる様々な変更をすることができる。
以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しうる様々な変更をすることができる。
【符号の説明】
【0064】
1…施設管理システム、10…不正アクセス監視装置、11…通信I/F部、12…記憶部、13…パケット検出部、14…区画人数取得部、15…正常値特定部、16…不正アクセス判定部、17…推定モデル更新部、20…機器、30…入退室管理システム、L…通信回線。
【図1】
【図2】
【図3】
【図4】
【図5】