[发明专利]数据判定装置及数据判定方法

说明书

数据判定装置具有：状态推移模型存储部(130)，其存储表示多个状态推移的状态推移模型(1031)；状态管理部(103)，其根据状态推移模型保有本装置的运用状态；通信许可列表存储部(105)，其将在各运用状态下允许进行通信的通信许可数据作为通信许可列表(114)进行存储；通信部(107)，其取得通信判定数据(109)；以及判定部(106)，其使用当前运用状态(113)和通信许可列表(114)，判定通信判定数据(109)是否是在当前运用状态(113)下被允许进行通信的通信许可数据。

技术领域

本发明涉及数据判定装置、数据判定方法及程序。特别涉及检测对网络的攻击入侵的数据判定装置、数据判定方法及程序。

背景技术

近年来，在产业控制系统中，系统与网络连接的情况增加，系统成为服务器攻击目标的情况增加。在产业控制系统中，为了检测通过服务器攻击进行的对网络的入侵，采取如下所述的方式。

以往的入侵检测系统利用产业控制系统的网络通信固定这一点，定义收件人地址和发件人地址的对和/或通信协议等被允许的通信。并且，入侵检测系统采取白名单型的对策，通过将被允许的通信以外的通信设为异常，由此对于未知的攻击也能检测入侵(参照专利文献1、2)。

另外，也提出了如下的方式：定义所允许的通信序列(communication sequence)，对各个通信序列中的未连接、通信中、异常处理等通信状态进行管理(参照专利文献2)。

另外，也提出了如下的方法：通过定义允许通信的应用，由此检测通过非法程序的执行进行的网络入侵(参照专利文献3)。

现有技术文献

专利文献

专利文献1：日本特许第4688420号公报

专利文献2：日本特开2001－034553号公报

专利文献3：日本特表2013－532869号公报

发明内容

发明要解决的问题

近年来，以将产业控制系统作为目标的Stuxnet(超级工厂病毒)为代表的高度攻击已在进行。Stuxnet侵占被允许通信的服务器，在定义为正常的通信中混入攻击通信。因此，存在攻击通信蒙混过专利文献1、2的白名单型对策的问题。

在专利文献2的技术中监视发件人及收件人的通信状态，判定是否是依照预先规定的通信序列的通信状态，依照判定结果进行访问控制。但是，在这种情况下存在如下的问题：通过从被侵占的服务器进行依照通信序列的通信，非法的程序改写等的攻击数据也变得能够进行通信。

在专利文献3的技术中，在本地主机中与应用程序建立通信，在发生了通信时，判定进行该通信的应用程序是否是被允许通信的应用程序，将该通信切断。但是，在该专利文献3的技术中，在被允许通信的应用程序内在的漏洞(vulnerability)被攻击的情况下，将不能切断通信。

本发明的目的在于提供一种对于侵占被允许通信的服务器并在定义为正常的通信中混入攻击通信的攻击也能够检测出入侵的数据判定装置。

用于解决问题的手段

本发明的数据判定装置具有：状态推移模型存储部，其存储表示多个运用状态中的各运用状态之间的状态推移的状态推移模型；状态管理部，其根据所述状态推移模型保有本装置的运用状态；通信许可列表存储部，其将在所述多个运用状态中的各运用状态下允许进行通信的通信许可数据作为通信许可列表进行存储；通信部，其取得通信数据作为通信判定数据；以及判定部，其取得由所述通信部取得的通信判定数据，并且取得由所述状态管理部保有的所述本装置的运用状态作为当前运用状态，使用所述当前运用状态和所述通信许可列表，判定所述通信判定数据是否是在所述当前运用状态下被允许进行通信的通信许可数据。

发明效果