[发明专利]非法入侵防止装置、非法入侵防止方法以及程序

说明书

削减分组的检查或非法指令的探测所需要的所需时间。非法入侵防止装置(3)与按照规定的规则发送包含对于控制对象装置的指令的分组的通信网(9－1)连接。解析表存储单元(34)存储用于将规定数的指令与时间的信息一起存储的规定数的时隙所构成的解析表。输入单元(31)从由通信网(9－1)检测到的分组提取指令。分析单元(32)将指令插入解析表。解析单元(33)对解析表的各时隙中存储的多个指令是否遵从规定的规则进行解析。通知单元(35)在解析结果表示异常时输出警报。输出单元(36)按照解析结果决定使分组通过还是丢弃。

技术领域

本发明涉及防止对运用例如电力、气体、水道、化学、石油等社会基础设施的工业系统的非法入侵的技术。

背景技术

在互联网技术(以下，称为“IT”)的领域中，进行所谓恶意软件或分散型服务拒绝攻击(DDoS:Distributed Denial of Service，分布式拒绝服务)的网络攻击，非法入侵探测系统(IDS:Intrusion Detection System)和非法入侵防止系统(IPS:IntrusionPrevention System)、防火墙(FW:Firewall)等安全技术发达起来。进行将这些安全技术导入用于运用控制各种社会基础设施的操作技术(以下，称为“OT”)的搭配。

在IT的领域中，将网络内的全部信息认为是信息资产，将防止该信息资产的资产价值例如因泄露、删除、改变等理由而毀损作为安全确保的目的。另一方面，在OT的领域中，控制装置通过将指令作为分组(Packet)对控制对象装置发送来进行控制，在向OT网络的网络攻击中，通过对于控制对象装置的指令的伪装或过大的指令发送等破坏重要基础设施本身，设想由此对利用者或运用者的人身带来危险。在OT网络的网络攻击对策中，需要将防止这样的事态设为安全确保的目的。

作为OT网络的一例，举出运用社会基础设施的产业系统中的监视控制网络。在该系统中，控制装置通过将指令作为分组对控制对象装置发送来进行控制。指令例如作为UDP(User Datagram Protocol，用户数据报协议)的有效载荷来实现，在实际安装中，多个指令被包含在1个UDP有效载荷中。

提出了在IT网络中使用的IDS/IPS中，不使网络攻击的探测性能降低地削减通信延迟，并降低安全设备要处理的负荷的方案(例如，参照专利文献1)。

现有技术文献

专利文献

专利文献1：日本专利特开2016－162350号公报

发明内容

发明要解决的课题

但是，在将IT网络中使用的IDS/IPS转用于OT网络的网络攻击对策的情况下，产生以下那样的课题。

在OT的领域中，进行系统设计，使得作为OT网络的通信的特性，指令以数百毫秒程度的周期被定期发送，周期的波动也被抑制为数毫秒程度。在OT网络中，在通过IT网络用的IDS/IPS探测包含了引起异常的非法的指令的分组时，进行多个签名和代码模拟等检查。若由于这些检查，分组的发送延迟，则该分组中包含的正常的指令的送出也延迟。若产生超过了被允许的指令周期的波动的延迟，则有引起与非法的指令引起的异常不同的、其它的异常的可能性。

本发明的目的是，鉴于所述的方面，实现削减分组的检查和非法指令的探测所需要的所需时间，并且分组送出的延迟小的非法入侵探测技术。

用于解决课题的手段

为了解决上述的课题，本发明的非法入侵防止装置是被连接到按照规定的规则发送包含了对于控制对象装置的指令的分组的网络的非法入侵防止装置，包括：解析表存储单元，存储用于将规定数的指令与时间的信息一起存储的规定数的时隙构成的解析表；分析单元，将从自网络检测到的分组中提取的指令插入解析表中；以及解析单元，解析在解析表的各时隙中存储的多个指令是否遵从规定的规则。