[发明专利]入侵检测装置、入侵检测方法以及计算机能读取的存储介质

说明书

状态检测部(105)检测通信系统(600)中包含的多个控制器(300、400)的状态。攻击判定部(103)从分别与状态的组合对应的多个白名单(110)中选择与由状态检测部(105)检测到的多个控制器(300、400)的状态的组合对应的白名单(110)。并且，攻击判定部(103)利用选择出的白名单(110)检测对通信系统(600)的攻击。

技术领域

本发明涉及入侵检测装置、入侵检测方法以及计算机能读取的存储介质。

背景技术

近年来，与网络连接的产业控制系统成为网络攻击目标的事例逐渐增加。

在产业控制系统中，为了检测对产业控制系统的网络攻击而利用入侵检测系统。

以往的入侵检测系统利用产业控制系统的网络通信是固定的情况，利用白名单来检测网络攻击。在白名单中，通过发送目的地地址与发送方地址的对、通信协议等来定义许可的通信。以往的入侵检测系统将通信数据的发送目的地地址与发送方地址的对、通信协议等与白名单中定义的发送目的地地址与发送方地址的对、通信协议等进行比较。并且，以往的入侵检测系统在发送目的地地址与发送方地址的对、通信协议等在通信数据与白名单之间不一致的情况下，拦截该通信数据(非专利文献1)。

在非专利文献2中，公开有根据监视对象设备的状态来切换白名单的入侵检测装置(主机型入侵检测装置)。根据非专利文献2的入侵检测装置，能够实现与设备的状态相应的高精度检测。

现有技术文献

非专利文献

非专利文献1：DongHo Kang，ByoungKoo Kim，JungChan Na，KyoungSon Jhang，“Whitelists Based Multiple Filtering Techniques in SCADA Sensor Networks”，Journal of Applied Mathematics Volume 2014

非专利文献2：山口晃由、清水孝一、小林信博、“产业控制系统中的入侵检测手法的调查和研究”，2015年代码和信息安全研讨会(山口晃由、清水孝一、小林信博、“産業制御システムにおける入侵検知手法の調査と検討”、2015年暗号と情報セキュリティシンポジウム)

发明内容

发明要解决的课题

非专利文献2的白名单以设备为单位定义正常的通信。并且，非专利文献2的入侵检测装置根据各个设备的状态来选择白名单，利用选择出的白名单对通信进行监视。

因此，在非专利文献2中，具有无法通过组合在以设备为单位的白名单中判定为正常的通信而检测引起异常动作的攻击这样的课题。

本发明的主要目的在于解决这样的课题。即，本发明的主要目的在于，能够通过组合在以设备为单位的白名单中判定为正常的通信而检测引起异常动作的攻击。

用于解决课题的手段

本发明的入侵检测装置具有：

状态检测部，其检测通信系统中包含的多个设备的状态；

选择部，其从分别与状态的组合对应的多个白名单中选择与由所述状态检测部检测到的所述多个设备的状态的组合对应的白名单；以及

攻击检测部，其利用由所述选择部选择出的白名单检测对所述通信系统的攻击。

发明效果

在本发明中，从与状态的组合对应地准备的多个白名单中选择与通信系统中包含的多个设备的状态的组合对应的白名单。因此，根据本发明，能够通过组合在以设备为单位的白名单中判定为正常的通信而检测引起异常动作的攻击。

附图说明