[发明专利]入侵路径分析装置以及入侵路径分析方法

权利要求书

1.一种入侵路径分析装置，与控制网络系统以能够通信的方式相连接，所述控制网络系统连接有一个以上的电子控制装置和通信装置，

在所述控制网络系统配置有一个以上的安全传感器，所述安全传感器在网络上对所述一个以上的电子控制装置和所述通信装置中的至少一个以上检测到安全侵害的征兆的情况下，向所述网络发送包含检测到所述安全侵害的征兆这一状况的安全警告，

所述入侵路径分析装置具备：

警告取得部，其从所述一个以上的安全传感器取得所述安全警告；

事件取得部，其取得在所述控制网络系统中所产生的事件的事件历史记录；以及

入侵路径分析部，其基于所述安全警告、所述事件历史记录以及表示在产生了所述安全警告的情况下所设想的攻击的入侵程度的入侵深度，进行所述攻击的入侵路径的分析并输出分析结果。

2.根据权利要求1所述的入侵路径分析装置，

所述控制网络系统由2个以上的子网络构成，

所述通信装置配置在所述2个以上的子网络中的至少一个以上的子网络上，是用于进行与所述控制网络系统外的网络或者装置的通信的装置，

所述入侵深度由从所述通信装置到到达所述安全传感器的监视对象为止的所述一个以上的电子控制装置、所述2个以上的子网络以及将所述2个以上的子网络彼此连接的网关装置中的至少一个的物理上的或者逻辑上的途经数来确定。

3.根据权利要求1或者2所述的入侵路径分析装置，

作为所述分析，所述入侵路径分析部在具有多个所述安全警告的情况下，基于多个所述安全警告的所述入侵深度的时间变化和在检测到多个所述安全警告的时间段所产生的所述事件，判断该事件是否为由所述攻击引起的事件。

4.根据权利要求1或者2所述的入侵路径分析装置，

作为所述分析，所述入侵路径分析部在所述入侵深度的出现分布在所述事件历史记录所包含的事件的产生时刻的前后发生变化的情况下，将所述事件判断为是由攻击引起的事件。

5.根据权利要求1～4中任一项所述的入侵路径分析装置，

作为所述分析，所述入侵路径分析部在伴随着时间经过而所述安全警告的所述入侵深度增加的情况下，判断为入侵状况是入侵扩大，在伴随着时间经过而所述安全警告的所述入侵深度减少的情况下，判断为入侵状况是由不正常的设备引起的攻击，在伴随着时间经过而所述安全警告的所述入侵深度没有变化的情况下，判断为入侵状况是没有变化。

6.根据权利要求5所述的入侵路径分析装置，

作为所述分析，所述入侵路径分析部进一步在入侵状况为所述入侵扩大的情况下，将所述攻击的进入点判断为是所述入侵深度最小的区域，在入侵状况是由所述不正常的设备引起的攻击的情况下，将所述攻击的进入点判断为是所述入侵深度最大的区域，在入侵状况是所述没有变化的情况下，将所述攻击的进入点判断为是所述入侵深度相同的区域。

7.根据权利要求1或者2所述的入侵路径分析装置，

作为所述分析，所述入侵路径分析部进一步在所述安全警告为一个、且该安全警告的所述入侵深度比预定阈值高的情况下，判断为是由物理访问引起的入侵或者误检测。

8.根据权利要求7所述的入侵路径分析装置，

作为所述分析，所述入侵路径分析部在具有与所述安全警告关联的所述事件的情况下，进一步将所述事件判断为是由所述攻击引起的事件。

9.根据权利要求1～8中任一项所述的入侵路径分析装置，

所述入侵路径分析部根据所述安全警告的所述入侵深度，执行对于所述一个以上的电子控制装置和所述通信装置中的至少一个的监视功能的强化、以及所述一个以上的电子控制装置和所述通信装置中的至少一个的功能的限制中的至少一方。