非法通信检测系统 技术领域 本发明涉及一种通过镜像捕捉在工厂网络中传输的数据包而对非法的通信进行 检测的非法通信检测系统, 特别地, 涉及下述非法通信检测系统, 其可以不依赖于 FW( 防火 墙 ) 的日志解析及 IDS( 侵入检测系统 ) 的设置、 运用, 而对在工厂网络内可能成为安全威 胁的非法流量 ( 蠕虫、 僵尸程序、 病毒的通信、 设定错误、 人为攻击等 ) 及其预兆进行检测。
背景技术 近年, 作为工业自动化中的处理控制系统, 提出了将构成反馈控制环路的包括流 量计或温度计等传感器、 致动器、 现场控制器在内的现场设备与网络连接而形成的现场控 制网络。
另外, 作为用于使工厂整体的动作最佳的控制网络管理系统, 还提出了工厂网络。
另一方面, 在工厂中还存在作为办公室用而铺设的 IP 网络。IP 网络广泛普及, IP 网络中大量被使用的以太网 ( 注册商标 ) 可以灵活地构建网络, 因此, 还提出了使工厂网
络、 现场控制网络在 IP 网络上进行动作的协议。
通过使用这种协议, 可以使工厂网络、 现场控制网络与作为办公室用而铺设的 IP 网络共存。
即, 可以将传感器及致动器等直接与 IP 网络连接, 在维护及运用方面可以更简单 地访问终端装置。
在上述网络中, 存在发生可能成为安全威胁的非法流量 ( 蠕虫、 僵尸程序、 病毒的 通信、 设定错误、 人为攻击等 ) 的可能性。如果发生非法流量, 则可能对工厂运转造成影响。 因此, 需要确定非法流量及把握网络状况。
图 6 是现有的工厂网络中的非法通信检测系统的一个实施例的结构说明图。
在图 6 中, 工厂网络 100 是用于使工厂整体的动作成为最佳的控制网络管理系统, 具体地说, 由以下的要素构成。
例如由下述部分构成 : 操作控制台 1, 其是用于对现场设备进行控制而进行工厂 运转的控制台装置 ; OPC 服务器 2, 其是用于使不同种类的工业自动化控制系统彼此动作的 服务器, 使处理过程数据在多厂商环境下被共享, 并将其向内部网的业务系统转送 ; 工程工 作站 3, 其作为工作站而进行向属于现场控制网络的设备中装载的控制逻辑的开发、 改造 ; 以及其他终端装置 (PC-2, PC-3)。上述操作控制台 1、 OPC 服务器 2、 工程工作站 3 经由网络 100 而彼此连接。
该工厂网络 100 设置在净水厂或工厂等中, 作为工业自动化中的处理控制系统, 与由构成反馈控制环路的现场设备 ( 包含流量计或温度计等传感器、 致动器、 现场控制器 在内的设备 ) 构成的控制总线网络 200 连接。
具体地说, 操作控制台 1、 工程工作站 3、 OPC 服务器 2 与控制总线网络 200 以及工 厂网络 100 彼此连接。
工厂网络 100 与工厂中作为办公室用而铺设的 IP 网络 ( 以下称为内部网 )300 连接。 内部网 300 由作为办公室用终端装置的 PC-1 等构成, 经由具有限制网络间通信的 功能的防火墙 ( 以下称为 FW)4 与互联网 400 连接。
另外, 内部网 300 经由 FW6 与工厂网络 100 连接。在内部网 300 中连接 IDS5, 通过 PC-1 等进行控制。IDS5 还与 FW6 和工厂网络 100 之间的连接线连接。
在 这 里, 在 工厂网络 100 的由虚线 包围的 部 分中, 由于近 年 不断引 入 搭载有 Windows( 注册商标 ) 的装置及开放技术, 所以产生安全相关的风险。
对于该安全风险, 通过利用 IDS5 进行侵入检测而确保工厂网络安全。
IDS5 是所谓侵入检测系统, 用于构成现有的非法通信检测系统。IDS5 通过对工厂 网络 100 进行监视, 检测非法的流量, 从而确保工厂网络 100 的安全。
更具体地说, 在 IDS5 为特征标 (signature) 型的情况下, IDS5 取得在工厂网络 100 和 FW6 之间所发送 / 接收的数据包, 将所取得的数据包与预先存储的非法数据包的信息 ( 以下简称为特征标 ) 进行对照。IDS5 在数据包的内容与特征标一致时视为非法的数据包 而切断通信。
另外, 在 IDS5 为异常型的情况下, 在 IDS5 中预先利用统计学上的方法定义正常状 态, 在当前的状态脱离预先定义的正常状态的情况下判断为异常, 将非法数据包的通过切 断。
其结果, 现有的工厂网络中的非法通信检测系统, 通过经由特征标型 ( 或者异常 型 ) 的 IDS 与互联网等通用网络连接, 从而可以对非法的数据包的侵入进行检测, 并将其切 断。
例如, 作为与现有的工厂网络中的非法通信检测系统相关联的背景技术文献, 存 在下述的专利文献 1。
专利文献 1 : 日本特开 2005-128784 号公报
发明内容 在现有的工厂网络中的非法通信检测系统中, 由于大多处于支持用应用软件及 OS(Operation System) 混合存在的环境下, 所以存在下述问题, 即, 攻击流量 ( 非法流量 ) 流过的情况下的影响比内部网大。
另外, 有时因攻击流量 ( 非法流量 ), 对与控制总线网络连接的现场设备的动作造 成影响, 存在无法使工厂最佳地运转的问题。
另外, 即使在与工厂网络连接的设备中发现脆弱性, 并可以得到该设备所具有的 软件等的安全补丁, 也还存在下述问题, 即, 对于计划外停止工厂运转、 停止处理控制系统, 在大多数情况下会由于对生产计划造成影响等原因, 而无法立即使系统停止, 从而无法应 用补丁等。
针对这些问题, 提出了如上述所示利用 IDS 对流量进行监视, 或者对 FW 的日志进 行解析而监视工厂网络的方法, 但存在以下的问题 (A) ~ (C)。
(A) 在利用 IDS 进行的监视中存在下述问题, 即, 仅可以在攻击流量 ( 非法流量 ) 在工厂网络中流过后检测出攻击, 可能对与控制总线网络连接的现场设备的动作造成影 响。
即, 在工厂网络中, 如果攻击流量流过则损害变大, 因此, 存在下述问题, 即, 利用 无法事先检测出攻击流量的 IDS 进行监视是不充分的。
(B) 在利用 IDS 进行的监视中, 由于只能检测出已知的攻击, 所以存在无法检测出 新的攻击模式下的攻击流量 ( 非法流量 ) 的问题。
(C) 在对 FW 日志的监视中存在需要特殊技能的问题, 还存在难以实时地对流量进 行监视的问题。
本发明是用于解决上述问题的, 其目的在于, 实现一种非法通信检测系统, 其可以 不依赖于 FW( 防火墙 ) 的日志解析及 IDS( 侵入检测系统 ) 的设置、 运用, 而检测出在工厂网 络内可能成为安全威胁的非法流量 ( 蠕虫、 僵尸程序、 病毒的通信、 设定错误、 人为攻击等 ) 及其预兆。
为了实现上述目的, 本发明中技术方案 1 所记载的发明是,
一种非法通信检测系统, 其通过镜像捕捉工厂网络中传输的数据包, 对非法的通 信进行检测,
其特征在于, 具有 :
存储单元, 其预先存储可能在所述工厂网络中发生的对话的名单即对话白名单 ; 对话判定分离部, 其基于所述捕捉的数据包, 判定对话是否成立, 生成表示成立的 对话的对话信息 ; 以及
第 1 非法通信检测单元, 其将由所述对话判定分离部生成的所述对话信息与所述 对话白名单进行比较, 在与所述对话白名单中的任一个对话均不符合时, 将该对话所涉及 的通信作为非法的通信而检测出。
技术方案 2 记载的发明的特征在于, 在技术方案 1 所记载的非法通信检测系统中,
所述存储单元预先存储可能在所述工厂网络中发生的流量模式的名单即流量模 式白名单,
所述对话判定分离部基于所述捕捉的数据包, 判定对话是否成立, 生成表示对话 未成立的数据包的对话不成立数据包信息,
该非法通信检测系统具有 :
流量模式判定单元, 其基于所述对话不成立数据包信息, 生成表示对话不成立的 数据包的流量模式的流量模式信息 ; 以及
第 2 非法通信检测单元, 其将所生成的所述流量模式信息与所述流量模式白名单 进行比较, 在与所述流量模式白名单中的任一个流量模式均不符合时, 将该流量模式信息 所涉及的通信作为非法的通信而检测出。
技术方案 3 记载的发明的特征在于, 在技术方案 1 或 2 所记载的非法通信检测系 统中,
所述对话判定分离部基于所述捕捉的数据包, 生成表示过去成立的对话的实际情 况信息的对话特征信息,
具有白名单生成单元, 其基于该对话特征信息, 生成所述对话白名单。
技术方案 4 记载的发明的特征在于, 在技术方案 1 ~ 3 中任一项记载的非法通信 检测系统中,
所述对话判定分离部具有 :
对话检测用工作存储器, 其将所述捕捉的数据包按照时间序列向多个存储器模块 对话信息用存储器, 其将所述对话成立的数据包按照时间序列向多个存储器模块存储 ;
存储 ; 数据处理单元, 其在从所述对话检测用工作存储器的最旧的存储器模块内存储的 数据包中, 检测出成为与所述捕捉的数据包对应的对话的成立对象的数据包的情况下, 在 该捕捉的数据包中标记表示对话成立的成立信息, 向最新的对话检测用工作存储器的存储 器模块中存储 ; 以及
定期处理单元, 在成为对应的对话的成立对象的数据包是未存储在所述对话检测 用工作存储器中的所述捕捉的数据包的情况下, 如果在所述对话信息用存储器中对该数据 包标记并记录有表示对话成立的成立信息, 则判定为存在对话成立的实际情况, 基于该对 话生成对话信息, 并且, 将该数据包向所述对话信息用存储器的最新的存储器模块中存储。
技术方案 5 记载的发明的特征在于, 在技术方案 4 所记载的非法通信检测系统中,
所述对话判定分离部具有等待用存储器, 其存储所述对话不成立的数据包,
所述定期处理单元, 在成为对应的对话的成立对象的数据包是未存储在所述对话 检测用工作存储器中的所述捕捉的数据包, 且是在所述对话信息用存储器中没有对该数据 包标记表示对话成立的成立信息的数据包的情况下, 判定为对话没有成立的数据包, 并将 该数据包向所述等待用存储器中存储, 并且基于该数据包生成所述对话不成立数据包信 息。
发明的效果
根据本发明, 由于具有 : 存储单元, 其预先存储工厂网络中可能发生的对话的名单 即对话白名单 ; 对话判定分离部, 其基于捕捉的数据包, 判定对话是否成立, 生成表示成立 的对话的对话信息 ; 以及第 1 非法通信检测单元, 其将由对话判定分离部生成的对话信息 与对话白名单进行比较, 在与对话白名单中的任一个对话均不符合时, 将该对话所涉及的 通信作为非法的通信而检测出, 所以在以下方面有效, 即, 可以不依赖于 FW( 防火墙 ) 的日 志解析及 IDS( 侵入检测系统 ) 的设置、 运用, 而对在工厂网络内可能成为安全威胁的非法 流量 ( 蠕虫、 僵尸程序、 病毒的通信、 设定错误、 人为攻击等 ) 及其预兆进行检测。
另外, 根据技术方案 2 的发明, 由于存储单元预先存储工厂网络中可能发生的流 量模式的名单即流量模式白名单, 对话判定分离部基于捕捉的数据包, 判定对话是否成立, 生成表示对话没有成立的数据包的对话不成立数据包信息, 并且本发明的非法通信检测系 统具有 : 流量模式判定单元, 其基于对话不成立数据包信息, 生成表示对话不成立的数据包 的流量模式的流量模式信息 ; 以及第 2 非法通信检测单元, 其将所生成的流量模式信息与 流量模式白名单进行比较, 在与流量模式白名单中的任一个流量模式均不符合时, 将该流 量模式信息所涉及的通信作为非法的通信而检测出, 所以在以下方面有效, 即, 即使是 UDP 这种对话成立时, 不需要发送响应数据包的协议下的通信, 也可以不依赖于 FW 的日志解析 及 IDS 的设置、 运用, 而对在工厂网络内可能成为安全威胁的非法流量 ( 蠕虫、 僵尸程序、 病 毒的通信、 设定错误、 人为攻击等 ) 及其预兆进行检测。
另外, 根据本发明, 本发明的非法通信检测系统通过采用上述结构, 不仅可以实时 地检测出非法流量, 而且可以实时地检测出不符合白名单的数据包 ( 非法通信 ), 因此, 在
可以检测出安全威胁的预兆这一方面也是有效的。
另外, 本发明的非法通信检测系统通过采用上述结构, 从而即使在工厂网络感染 蠕虫或僵尸病毒的情况下 ( 经由网络的情况, 以及不是经由网络而是经由 USB 存储器的情 况 ), 在可以迅速地检测出蠕虫或僵尸程序活动的非法流量的预兆这方面也是有效的。 附图说明
图 1 是本发明的非法通信检测系统的一个实施例的结构说明图。 图 2 是图 1 的检测装置的结构说明图。 图 3 是图 2 的对话判定分离部的结构框图。 图 4 是本发明的非法通信检测装置的对话判定分离部的动作说明图。 图 5 是本发明的非法通信检测装置的动作说明图。 图 6 是现有的工厂网络中的非法通信检测系统的一个实施例的结构说明图。具体实施方式
< 第 1 实施例 > 本发明着眼于, 由于蠕虫、 病毒、 僵尸程序的通信、 以及它们的预兆的通信会被送 到工厂网络的默认网关, 所以只要对默认网关的流量进行监视, 就可以发现上述安全威胁。
( 构成的概要 )
下面, 参照附图, 详细说明本发明。图 1 是本发明的非法通信检测系统的一个实施 例的结构说明图, 对于与图 6 共通的部分, 标注相同的标号, 适当省略说明。
与图 6 的不同点主要在于, 存储单元预先存储在工厂网络内可能发生的对话的名 单即对话白名单, 对话判定分离部基于捕捉到的数据包, 判定对话是否成立, 生成表示成立 的对话的对话信息, 第 1 非法通信检测单元将由对话判定分离部生成的对话信息与对话白 名单进行比较, 在与对话白名单中的任意对话均不符合时, 将该对话所涉及的通信作为非 法的通信而检测出。
在图 1 中, 本发明的非法通信检测系统 1 主要由检测装置 50 构成, 其与内部网 300 连接, 还与 FW6 和工厂网络 100 之间的连接线连接。本发明的非法通信检测系统 1 也可以 由控制台装置 60 构成, 其与内部网 300 连接, 显示检测装置 50 的检测结果。
检测装置 50 对工厂网络 100 进行监视, 检测非法的流量而发现安全威胁, 在发现 了威胁的情况下, 作为事件向控制台装置 60 通知, 从而确保工厂网络 100 的安全。
此外, 由于本发明的非法通信检测系统设置有检测装置 50, 所以为了避免对工厂 网络 100 造成影响, 或攻击者将检测装置 50 作为平台而攻击工厂网络 100 的情况, 而采用 考虑了以下事项的结构。
(A) 在对位于默认网关处的 FW( 或者 3 层交换机 ) 的工厂网络 100 侧的流量进行 镜像后捕捉。
(B) 不使其与工厂网络 100 直接连接
具体地说, 检测装置 50 虽然未特别地进行图示, 但其通过镜像, 从将 FW6 和工厂网 络 100 连接的交换机 ( 未图示 ) 捕捉 (capture) 在工厂网络中传输的数据包, 检测非法的 通信。
具体地说, 检测装置 50 将交换机 ( 未图示 ) 的端口中的 1 个, 设定为对流过指定 的端口 ( 源端口 ) 的数据包进行复制并输出的镜像端口, 在该镜像端口上连接检测装置的 通信单元 ( 监视用接口等 ), 对在工厂网络 300 中传输的数据包进行捕捉。
图 2 是图 1 的检测装置的结构说明图。
在图 2 中, 检测装置 50 由下述部分构成 : 存储单元 51, 其预先存储可能在工厂网 络 100 内发生的对话的名单即对话白名单 51a ; 数据包捕捉单元 52, 其通过镜像, 从将 FW6 和工厂网络 100 连接的交换机 ( 未图示 ) 捕捉在工厂网络 100 中传输的数据包 ; 对话判定 分离部 53, 其基于由数据包捕捉单元 52 捕捉的数据包, 判定对话是否成立, 生成表示成立 的对话的 “对话信息” ; 以及第 1 非法通信判定单元 54, 其将由对话判定分离部 53 生成的 “对话信息” 与对话白名单 51a 进行比较, 在与对话白名单 51a 中的任意一个对话均不符合 时, 将该对话所涉及的通信作为非法的通信而检测出。
在这里, 以下的表 1 示出对话白名单 51a 的例子。
[ 表 1]
对话白名单的例子
发送源 192.168.23.8 192.168.20.0/24 192.168.20.0/24 …
发送目标 172.16.7.80 192.168.20.0/24 10.10.10.10 … 服务 TCP/20002 UDP/187 TCP/80 …另外, 存储单元 51 也可以预先存储可能在工厂网络 100 内发生的流量模式的名单 即流量模式白名单 51b。在这里, 以下的表 2 示出流量模式白名单 51b 的例子。该流量模式 白名单 51b 也可以通过在一定期间内使本系统运转, 收集流量模式而生成。
[ 表 2]
流量模式白名单的例子
发送源 10.10.0.0/16 10.10.0.0/16 10.10.0.0/16 发送目标 203.95.26.0/24 203.95.26.0/24 289.255.1.0/24 流量模式特征标 9173416f5cca3e16ed76038dbe38c76b aad96e702f9d3d5ed5e1dabb70f1f6a2 e0eced278c2875ff1fbec37181dea902………
流量模式可以由后述的 “Normal” 、 “Port_Scan” 、 “Port_Scan2” , Network_Scan” 、“Network_Scan2” 以及 “Network_Scan3” 这 6 种类型的模式构成, 它们是根据数据包的传输 方法的不同而分类的。
另外, 对话判定分离部 53 也可以基于捕捉的数据包, 判定对话是否成立, 生成表 示对话没有成立的数据包的 “对话不成立数据包信息” 。
另外, 对话判定分离部 53 也可以基于捕捉的数据包, 生成表示过去成立的对话的 实际情况信息的 “对话特征信息” 。
对话判定分离部 53 取得从对话判定分离部 53 捕捉的数据包, 或者从存储单元 51 取得对话判定分离部 53 捕捉的数据包。
另外, 对话判定分离装置 53 也可以基于取得的数据包, 提取并生成以下的表 3 所 示的 “对话信息” 、 “对话特征信息” 、 “对话不成立数据包信息” 这 3 种信息中的至少任意一 种信息。
[ 表 3]
对话判定分离装置的输出
另外, 检测装置 50 也可以由下述部分构成 : 流量模式判定单元 55, 其基于对话不 成立数据包信息, 生成表示对话不成立的数据包的流量模式的流量模式信息 ; 以及第 2 非 法通信判定单元 56, 其将由流量模式判定单元 55 生成的流量模式信息与流量模式白名单 51b 进行比较, 在与流量模式白名单 51b 中的任一个流量模式均不符合时, 将该流量模式信 息所涉及的通信作为非法的通信而检测出。
数据包捕捉单元 52 调查捕捉到的数据包的内容, 提取为了发现对话组所必要的 数据包信息。数据包捕捉单元 52 例如在 IPv4 的 TCP/UDP/ICMP 的情况下, 提取以下的表 4 所示的信息。然后, 将提取出的信息或者捕捉的数据包向对话判定分离部 53 发送, 或者存 储在存储单元 51 中。
[ 表 4]
为了发现对话组所必要的信息
第 1 非法通信判定单元 54 取得对话判定分离部 53 生成的对话信息, 与存储单元 51 中存储的对话白名单 51a 进行比较, 将比较结果 ( 例如检测出的非法通信的信息 ) 经由 通信单元向控制台装置 60 发送。从第 1 非法通信判定单元 54 发送的比较结果 ( 例如检测 出的非法通信的信息 ) 在控制台装置 60 的显示单元 ( 显示器 ) 等中显示。
流量模式判定单元 55 取得对话判定分离部 53 生成的对话不成立数据包信息, 基 于这些取得的数据包, 生成流量模式。判定· 变换的算法可以使用例如关联专利、 专利申请 ( 日本专利 4479459 号、 日本专利 4415380 号、 日本特开 2007-221311 号公报 ) 所记载的算 法。
具体地说, 流量模式判定单元 55 对所捕捉的数据包的发送目标端口、 类型或者它 们中的一个或两个的组合所确定的流量模式 ( 分类 ) 自动进行判定。
例如, 流量模式判定单元 55 根据接收 ( 捕捉 ) 到的数据包的传输方法的不同, 分 类 为 “Normal” 、 “Port_Scan” 、 “Port_Scan2” 、 “Network_Scan” 、 “Network_Scan2” 以 及” Network_Scan3” 这 6 个类型。
流量模式判定单元 55, 例如在对话不成立数据包的发送源端口序号的种类数量和 发送目标端口序号的种类数量相同, 且发送目标网络的地址的种类数量和发送目标主机的 地址种类数量相同的情况下, 分类为类型 “Normal” 。
另外, 流量模式判定单元 55, 在对话不成立数据包的发送源端口序号的种类数量 比发送目标端口序号的种类数量多, 且发送目标网络的地址的种类数量和发送目标主机的 地址种类数量相同的情况下, 分类为类型 “Port_Scan” 。
另外, 流量模式判定单元 55, 在对话不成立数据包的发送源端口序号的种类数量 比发送目标端口序号的种类数量少, 且发送目标网络的地址的种类数量和发送目标主机的 地址种类数量相同的情况下, 分类为类型 “Port_Scan2” 。
另外, 流量模式判定单元 55, 在对话不成立数据包的发送源端口序号的种类数量 比发送目标端口序号的种类数量多, 且发送目标网络的地址的种类数量比发送目标主机的 地址种类数量少的情况下, 分类为类型 “Network_Scan” 。
另外, 流量模式判定单元 55, 在对话不成立数据包的发送源端口序号的种类数量 和发送目标端口序号的种类数量相同, 且发送目标网络的地址的种类数量比发送目标主机 的地址种类数量少的情况下, 分类为类型 “Network_Scan2” 。
另外, 流量模式判定单元 55, 在对话不成立数据包的发送源端口序号的种类数量 比发送目标端口序号的种类数量少, 且发送目标网络的地址的种类数量比发送目标主机的
地址种类数量少的情况下, 分类为类型 “Network_Scan3” 。
第 2 非法通信判定单元 56 取得流量模式判定单元 55 生成的流量模式信息, 与存 储单元 51 中存储的流量模式对话白名单 51b 进行比较, 将比较结果 ( 例如检测出的非法通 信的信息 ) 经由通信单元向控制台装置 60 发送。从第 1 非法通信判定单元 54 发送的比较 结果在控制台装置 60 的显示单元 ( 显示器 ) 等中显示。
另外, 对话判定分离部 53 也可以基于捕捉的数据包, 生成表示过去成立的对话的 实际情况信息的对话特征信息。也可以具有基于该对话特征信息, 生成对话白名单 51b 的 白名单生成单元。
此外, 虽然未特别地图示, 但检测装置 50 具有 : 第 1 通信单元, 其经由工厂网络 100 进行数据包通信 ; 第 2 通信单元, 其经由内部网 300 进行数据包通信 ; 以及 CPU 等运算 控制单元, 其对该检测装置 50 整体进行控制, 检测非法通信。
另外, 存储单元 51 例如为 RAM(Random Access Memory) 及 ROM(ROM-Read Only Member) 等, 主要存储 OS(Operating System)、 用于使检测装置 50 动作的程序及应用、 执行 这些程序等时使用的数据、 直至到达控制台装置 60 等为止的路径信息 (IP 地址、 MAC 地址 等网络信息 ) 等各种信息。 运算控制单元使存储单元 51 中存储的 OS 等启动, 通过在该 OS 中读出并执行存储 的程序, 从而对各设备或者各部分整体地进行控制, 进行各设备或者各部分固有的动作。 这 时存储单元也可以将由运算控制单元执行的程序及应用在程序存储区域中展开, 将输入的 数据、 程序及应用执行时所产生的处理结果等数据, 临时存储在工作区域中。
图 3 是图 2 的对话判定分离部的结构框图。
在图 3 中, 对话判定分离部 53 由下述部分构成 : 对话检测用工作存储器 53a, 其将 捕捉的数据包 ( 或者由数据包捕捉单元 52 提取的数据包信息 ) 按照时间序列向多个存储 器模块中存储 ; 对话信息用存储器 53b, 其将对话成立的数据包 ( 或者由数据包捕捉单元 52 提取的数据包信息 ) 按照时间序列向多个存储器模块中每隔规定期间进行存储 ; 以及等待 用存储器 53c, 其将对话不成立的数据包 ( 或者由数据包捕捉单元 52 提取的数据包信息 ) 每隔规定期间进行存储。
对话检测用工作存储器 53a 是为了发现对话成立的数据包的组而使用的存储器。
对话检测用工作存储器 53a 从最旧的存储器模块至最新的存储器模块为止, 利用 与定期处理单元 53e 的定期处理间隔为相同时间宽度的单位模块, 存储并管理与数据包相 关的信息。
对话信息用存储器 53b 是针对对话成立的数据包, 将对话信息以一定期间保存的 存储器。
对话信息用存储器 53b, 从最旧的存储器模块至最新的存储器模块为止, 利用与定 期处理单元 53e 的定期处理间隔为相同时间宽度的单位模块, 存储并管理与数据包相关的 信息。
等待用存储器 53c 是用于将对话不成立的数据包, 以为了按数据包的时间顺序输 出所必要的期间进行保存的存储器。
另外, 等待用存储器 53c 从最旧的存储器模块至最新的存储器模块为止, 利用与 定期处理单元 53e 的定期处理间隔为相同时间宽度的单位模块, 存储并管理与数据包相关
的信息。 在这里, 对话成立是指通信对象存在 ( 通信不是单向通信, 而是在一定期间内双 方向进行 )。对话判定分离部 53 预先具有关于对话是否成立的条件信息。在这里, 用于判 断为对话成立的条件例如下述所示。
(X)IPv4/TCP(Transmission Control Protocol) 通信的情况
在从主机 A 向主机 B 发送 SYN(Synchronize) 数据包时, 在一定期间内从主机 B 向 主机 A 返回对应的 SYN/ACK(ACKnowledgement) 数据包的情况下, 将主机 A 和主机 B 作为 “组” 。
在 这 里、 “对 应”是 指 “发 送 源 端 口 序 号” 、 “发 送 目 标 端 口 序 号” 、 “Sequence Number” 、 “Acknowledgement Number” 等没有矛盾。
(Y)IPv4/UDP(User Datagram Protocol) 通信的情况
在从主机 A 向主机 B 发送 UDP 数据包时, 在一定期间内从主机 B 向主机 A 返回对 应的 UDP 数据包的情况下, 将主机 A 和主机 B 作为 “组” 。
在这里、 “对应” 是指 “发送源端口序号” 、 “发送目标端口序号” 没有矛盾。
(Z)IPv4/ICMP(Internet Control Message Protocol) 通信的情况
从主机 A 向主机 B 发送 “ICMP_ECHO” 、 “ICMP_TIMESTAMP” 、 “ICMP_INFO_REQUEST” 或者 “ICMP_ADDRESS”时, 在一定期间内从主机 B 向主机 A 分别返回 “ICMP_ECHOREPLY” 、 “ICMP_TIMESTAMPREPLY” 、 “ICMP_INFO_REPLY” 或者 “ICMP_ADDRESSREPLY” 的情况下, 将主 机 A 和主机 B 作为 “组” 。
另外, 对话判定分离部 53 由下述部分构成 : 数据处理单元 53d ; 定期处理单元 53e ; 定时器单元 53f, 其定期地产生时刻事件或者触发 ; 任务队列单元 53g, 其是 FIFO( 环 形缓存器 ), 对从数据包捕捉单元 52 接收的数据包的时间顺序的数据包信息、 及来自定时 器的时刻事件或者触发进行存储 ; 以及任务管理单元 53h, 其定期地对任务队列单元 53g 进 行监视, 在任务队列内存在任何任务的情况下, 启动与任务内容对应的处理。
如果从对话检测用工作存储器 53a 的最旧的存储器模块内存储的数据包中检测 出成为与捕捉的数据包对应的对话的成立对象的数据包, 则数据处理单元 53d 在该捕捉的 数据包中标记表示对话成立的成立信息 ( 附加表示对话已成立的标记 ), 并向对话检测用 工作存储器 53a 的最新的存储器模块中存储。
定期处理单元 53e, 在成为对应对话的成立对象的数据包是未存储在对话检测用 工作存储器中的捕捉到的数据包的情况下, 如果在对话信息用存储器 53b 中对该数据包 ( 同类数据包, 由数据包捕捉单元 52 提取的同类数据包信息 ) 标记并记录有表示对话成立 的成立信息, 则判定为存在对话成立的实际情况, 生成与该对话相关的对话信息, 并且, 将 该数据包向对话信息用存储器 53b 的最新的存储器模块中存储。
定期处理单元 53e 生成的对话信息包含对话开始时刻、 对话的长度、 对话方向和 协议信息、 对话的状态 ( 通信中 / 结束 ) 中的至少任一个。
定期处理单元 53e 取出与对话信息用存储器 53b 的最旧的存储器模块内的数据包 相关的信息, 进行加工以使得 “发送源 IP 地址、 发送目标 IP 地址、 服务” 的组唯一, 生成对 话特征信息。
另外, 定期处理单元 53e, 在成为对应对话的成立对象的数据包是未存储在对话检
测用工作存储器 53a 中的捕捉到的数据包, 且是在对话信息用存储器 53b 中没有对该数据 包 ( 同类的数据包 ) 标记表示对话成立的成立信息的数据包的情况下, 判定为对话没有成 立的数据包, 向对话不成立数据包信息中存储, 并且将该数据包向等待用存储器 53c 中存 储。
( 动作的说明 )
利用上述结构, 本发明的非法通信检测装置进行下述动作 (1) ~ (3), (A-1) ~ (A-2), (B-1) ~ (B-6), (C-1) ~ (C-3), (D-1) ~ (D-5)。
(1) 数据包捕捉单元 52 在每次捕捉流量时, 提取数据包信息并向任务队列单元 53g 输入。
(2) 定时器 53f 将时刻信息定期地向任务队列单元 53g 输入。
(3) 对话判定分离部 53 执行 “(A) 数据处理” 以及 “(B) 定期处理” 。在这里, 任务 管理单元 53h 对任务队列单元 53g 进行监视, 在有任务的情况下, 取出一个任务, 在该任务 为数据包信息的情况下, 执行 “(A) 数据处理” , 在为时刻事件的情况下, 执行 “(B) 定期处 理” 。
图 4 是本发明的非法通信检测装置的对话判定分离部的动作说明图, 图 5 是本发 明的非法通信检测装置的动作说明图。 下面, 与图 4、 图 5 中的表示 (A-1) ~ (A-2), (B-1) ~ (B-5), (C-1) ~ (C-3), (D-1) ~ (D-5) 的各动作处理的处理序号相对应而进行说明。在这 里, (A-1) ~ (A-2) 说明 “数据处理” , (B-1) ~ (B-5) 说明 “定期处理” 的动作。
(A) 关于数据处理
(A-1)
数据处理单元 53d 以从对话检测用工作存储器 53a 的最旧的存储器模块向新的存 储器模块的顺序, 从各存储器模块内存储的数据包中, 检索与任务队列单元 53g 中存储的 数据包 ( 由数据包捕捉单元 52 捕捉的数据包 ) 对应的成为对话的成立对象的数据包。
(A-2)
如果数据处理单元 53d 针对捕捉的数据包, 检测出 “成为对话的成立对象的数 据包” , 则在该捕捉的数据包中标记表示对话成立的成立信息 ( 附加对话已成立这样的标 记 )。
另外, 数据处理单元 53d 向对话检测用工作存储器 53a 的最新的存储器模块中存 储 ( 追加 ) 标记有表示对话成立的成立信息的该捕捉的数据包的相关信息。
(B) 关于定期处理
(B-1)
定期处理单元 53e 从对话检测用工作存储器 53a 的最旧的存储器模块开始, 取得 存储器模块内中包含的所有与数据包相关的信息。
定期处理单元 53e 对各数据包的信息进行检查, 确认是否标记有表示对话成立的 信息 ( 是否具有表示对话成立的标记 )。定期处理单元 53e 将标记有表示对话成立的信息 的 ( 具有对话成立的标记 ) 数据包判定为 “对话成立” 。
(B-2)
定期处理单元 53e, 对于没有标记表示对话成立的信息 ( 没有对话成立的标记 ) 的 数据包, 为了确认在过去一定期间内是否存在对话成立的记录, 而检索对话信息用存储器(B-2A)。
如果定期处理单元 53e 可以检测到对话成立的记录, 则将该数据包判定为 “对话成立” 。 定期处理单元 53e 将没有记录的数据包判定为 “对话没有成立” , 按照数据的时间 顺序, 向等待用存储器 53c 内的适当的模块中写入与数据包相关的信息 (B-2B)。
(B-3)
定期处理单元 53e 针对判定为 “对话成立” 的数据包, 将该对话作为对话信息而生 成 (B-3A), 并且将该对话信息写入对话信息用存储器 53b 的最新的存储器模块 (B-3B)。
(B-4)
定期处理单元 53e 取出与对话信息用存储器 53b 的最旧的存储器模块内的数据包 相关的信息 (B-4A)、 进行加工以使得 “发送源 IP 地址, 发送目标 IP 地址, 服务” 的组唯一, 生成对话特征信息 (B-4B)。
(B-5)
定期处理单元 53e 从等待用存储器 53c 的最旧的存储器模块开始取出与模块内 的数据包相关的信息 (B-5A), 以时刻顺序重新排列而作为 “对话不成立数据包信息” 生成 (B-5B)。
如果定期处理结束, 则第 1 非法通信判定单元 54、 流量模式判定单元 55、 第 2 非法 通信判定单元 56 分别进行以下的动作 (C-1) ~ (C-3), (D-1) ~ (D-5)。
(C-1)
定期处理后, 第 1 非法通信判定单元 54 取得定期处理单元 53e 生成的 “对话信 息” 。
(C-2)
第 1 非法通信判定单元 54 基于对话判定分离部 53 生成的对话信息, 与存储单元 51 中存储的对话白名单 51a 进行比较, 在对话白名单 51a 中的任一个对话均不符合时, 将该 对话信息所涉及的通信作为非法的通信而检测出。
(C-3)
如果检测到非法的通信, 则第 1 非法通信判定单元 54 将检测结果向控制台装置 60 发送。控制台装置 60 基于从第 1 非法通信判定单元 54 接收的检测结果, 显示非法通信所 涉及的信息。
(D-1)
定期处理后, 流量模式判定单元 55 取得定期处理单元 53e 生成的 “对话不成立数 据包信息” 。
(D-2)
流量模式判定单元 55 基于定期处理单元 53e 生成的 “对话不成立数据包信息” , 生 成流量模式信息。
(D-3)
第 2 非法通信判定单元 56 取得流量模式判定单元 55 生成的流量模式信息。
(D-4)
第 2 非法通信判定单元 56 将由流量模式判定单元 55 生成的流量模式信息与流量
模式白名单 51b 进行比较, 在流量模式白名单 51b 中的任一个流量模式均不符合时, 将该流 量模式信息所涉及的通信作为非法的通信而检测出。
(D-5)
如果检测到非法的通信, 则第 2 非法通信判定单元 56 将检测结果向控制台装置 60 发送。控制台装置 60 基于从第 2 非法通信判定单元 56 接收的检测结果, 显示非法通信所 涉及的信息。
其结果, 本发明的非法通信检测系统具有 : 存储单元, 其预先存储工厂网络中可能 发生的对话的名单即对话白名单 ; 对话判定分离部, 其基于捕捉的数据包, 判定对话是否成 立, 生成表示成立的对话的对话信息 ; 以及第 1 非法通信检测单元, 其将由对话判定分离部 生成的对话信息与对话白名单进行比较, 在与对话白名单中的任一个对话均不符合时, 将 该对话所涉及的通信作为非法的通信而检测出, 因此, 可以不依赖于 FW( 防火墙 ) 的日志解 析及 IDS( 侵入检测系统 ) 的设置、 运用, 而对在工厂网络内可能成为安全威胁的非法流量 ( 蠕虫、 僵尸程序、 病毒的通信、 设定错误、 人为攻击等 ) 及其预兆进行检测。
另外, 在本发明的非法通信检测系统中, 存储单元预先存储工厂网络中可能发生 的流量模式的名单即流量模式白名单, 对话判定分离部基于捕捉的数据包, 判定对话是否 成立, 生成表示对话没有成立的数据包的对话不成立数据包信息, 并且本发明的非法通信 检测系统具有 : 流量模式判定单元, 其基于对话不成立数据包信息, 生成表示对话不成立的 数据包的流量模式的流量模式信息 ; 以及第 2 非法通信检测单元, 其将所生成的流量模式 信息与流量模式白名单进行比较, 在与流量模式白名单中的任一个流量模式均不符合时, 将该流量模式信息所涉及的通信作为非法的通信而检测出, 因此, 即使是 UDP 这种对话成 立时, 不需要发送响应数据包的协议下的通信, 也可以不依赖于 FW 的日志解析及 IDS 的设 置、 运用, 而对在工厂网络内可能成为安全威胁的非法流量 ( 蠕虫、 僵尸程序、 病毒的通信、 设定错误、 人为攻击等 ) 及其预兆进行检测。
即, 本发明的非法通信检测系统通过采用上述结构, 不仅可以实时地检测出非法 流量, 而且可以实时地检测出不符合白名单的数据包 ( 非法通信 ), 因此, 不仅在已知的攻 击方面, 而且在可以检测出安全威胁的预兆这一方面也是有效的。 因此, 可以在攻击流量流 过之前检测出安全威胁的预兆, 因此, 在使对现场设备的动作造成的影响变得比较少这方 面是有效的。
另外, 本发明的非法通信检测系统通过采用上述结构, 从而即使在工厂网络感染 蠕虫或僵尸病毒的情况下 ( 经由网络的情况, 以及不是经由网络而是经由 USB 存储器的情 况 ), 在可以迅速地检测出蠕虫或僵尸程序活动的非法流量的预兆这方面也是有效的。
< 其他构成例 >
此外, 本发明的非法通信检测系统也可以在上述第 1 实施例的结构的基础上, 使 存储单元 51 存储黑名单, 第 3 非法通信判定单元 57 在第 1 或第 2 非法通信判定单元检测 出非法的通信后, 进一步与黑名单进行比较, 将与非法流量的产生原因相关联的信息显示 在控制台装置 60 中。
在这里, 所谓黑名单, 是指已知是僵尸程序的通信目标这种存在问题的通信目标 的名单, 及已知的蠕虫流量模式的名单。
由此, 在可以对用于去除非法流量的产生原因的处理进行辅助这方面、 以及可以优先处理这方面是有效的。