[发明专利]非法通信检测系统

权利要求书

1.一种非法通信检测系统，其通过镜像捕捉工厂网络中传输的数据包，对非法的通信进行检测，

其特征在于，具有：

存储单元，其预先存储可能在所述工厂网络中发生的对话的名单即对话白名单；

对话判定分离部，其基于所述捕捉的数据包，判定对话是否成立，生成表示成立的对话的对话信息；以及

第1非法通信检测单元，其将由所述对话判定分离部生成的所述对话信息与所述对话白名单进行比较，在与所述对话白名单中的任一个对话均不符合时，将该对话所涉及的通信作为非法的通信而检测出。

2.根据权利要求1所述的非法通信检测系统，其特征在于，

所述存储单元预先存储可能在所述工厂网络中发生的流量模式的名单即流量模式白名单，

所述对话判定分离部基于所述捕捉的数据包，判定对话是否成立，生成表示对话未成立的数据包的对话不成立数据包信息，

该非法通信检测系统具有：

流量模式判定单元，其基于所述对话不成立数据包信息，生成表示对话不成立的数据包的流量模式的流量模式信息；以及

第2非法通信检测单元，其将所生成的所述流量模式信息与所述流量模式白名单进行比较，在与所述流量模式白名单中的任一个流量模式均不符合时，将该流量模式信息所涉及的通信作为非法的通信而检测出。

3.根据权利要求1或2所述的非法通信检测系统，其特征在于，

所述对话判定分离部基于所述捕捉的数据包，生成表示过去成立的对话的实际情况信息的对话特征信息，

具有白名单生成单元，其基于该对话特征信息，生成所述对话白名单。

4.根据权利要求1至3中任一项所述的非法通信检测系统，其特征在于，

所述对话判定分离部具有：

对话检测用工作存储器，其将所述捕捉的数据包按照时间序列向多个存储器模块存储；

对话信息用存储器，其将所述对话成立的数据包按照时间序列向多个存储器模块存储；

数据处理单元，其在从所述对话检测用工作存储器的最旧的存储器模块内存储的数据包中，检测出成为与所述捕捉的数据包对应的对话的成立对象的数据包的情况下，在该捕捉的数据包中标记表示对话成立的成立信息，向最新的对话检测用工作存储器的存储器模块中存储；以及

定期处理单元，在成为对应的对话的成立对象的数据包是未存储在所述对话检测用工作存储器中的所述捕捉的数据包的情况下，如果在所述对话信息用存储器中对该数据包标记并记录有表示对话成立的成立信息，则判定为存在对话成立的实际情况，基于该对话生成对话信息，并且，将该数据包向所述对话信息用存储器的最新的存储器模块中存储。

5.根据权利要求4所述的非法通信检测系统，其特征在于，

所述对话判定分离部具有等待用存储器，其存储所述对话不成立的数据包，

所述定期处理单元，在成为对应的对话的成立对象的数据包是未存储在所述对话检测用工作存储器中的所述捕捉的数据包，且是在所述对话信息用存储器中没有对该数据包标记表示对话成立的成立信息的数据包的情况下，判定为对话没有成立的数据包，并将该数据包向所述等待用存储器中存储，并且基于该数据包生成所述对话不成立数据包信息。