[go: up one dir, main page]

JP6835526B2 - 不正アクセス監視装置および方法 - Google Patents

不正アクセス監視装置および方法 Download PDF

Info

Publication number
JP6835526B2
JP6835526B2 JP2016202292A JP2016202292A JP6835526B2 JP 6835526 B2 JP6835526 B2 JP 6835526B2 JP 2016202292 A JP2016202292 A JP 2016202292A JP 2016202292 A JP2016202292 A JP 2016202292A JP 6835526 B2 JP6835526 B2 JP 6835526B2
Authority
JP
Japan
Prior art keywords
command
monitoring
unauthorized access
unauthorized
equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016202292A
Other languages
English (en)
Other versions
JP2018063618A (ja
Inventor
貴彦 太田
貴彦 太田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Azbil Corp
Original Assignee
Azbil Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Azbil Corp filed Critical Azbil Corp
Priority to JP2016202292A priority Critical patent/JP6835526B2/ja
Publication of JP2018063618A publication Critical patent/JP2018063618A/ja
Application granted granted Critical
Publication of JP6835526B2 publication Critical patent/JP6835526B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、通信機器に対する不正機器からの不正アクセスを検知するための不正アクセス監視技術に関する。
従来、ビル建物に設置されている各種設備を関する設備管理システムとして、BACnet(Building Automation and Control Networking protocol:登録商標)と呼ばれるインテリジェントビル用ネットワークのための通信プロトコル規格を利用した、いわゆるBACnetシステムが普及しつつある。
特開2007−199798号公報
このようなBACnetシステムは、元々クローズドな環境に適用されていたため、これまであまり重要視されていなかったが、近年、IOTや他システムとの連携が進みつつあり、外部からアクセス可能なオープンな環境に変わりつつある。このため、悪意のある者が、不正アクセスしてBACnetシステムに接続できた場合、BACnetシステム内の各種機器が様々に不正操作される可能性があるという問題点があった。
本発明はこのような課題を解決するためのものであり、外部からの不正アクセスを的確に検知できる不正アクセス監視技術を提供することを目的としている。
このような目的を達成するために、本発明にかかる不正アクセス監視装置は、通信回線に接続されている各設備機器に対する不正機器からの不正アクセスを検知する不正アクセス監視装置であって、前記設備機器は、前記設備機器のシステム接続情報を問い合わせるための問い合わせコマンドに対して、前記設備機器のシステム接続情報を含む応答コマンドを送信する機能を有し、前記通信回線を監視して、前記設備機器に対する前記問い合わせコマンドを検知するコマンド監視部と、前記問い合わせコマンドの検知に応じて、前記問い合わせコマンドの送信元である監視対象機器に対して、前記システム接続情報を問い合わせるための問い合わせコマンドを返信する不正アクセス判定部とを備え、前記不正アクセス判定部は、前記問い合わせコマンドの返信から一定の監視時間が経過するまでに前記監視対象機器から前記応答コマンドが返信された否か監視し、前記監視時間内に前記応答コマンドの返信がなかった場合、前記監視対象機器を不正機器として判定するようにしたものである。
また、本発明にかかる上記不正アクセス監視装置の一構成例は、前記不正アクセス判定部が、前記監視時間内に前記応答コマンドの返信があった場合、接続許可機器のシステム接続情報が予め登録されている接続許可リストを参照し、前記応答コマンドに含まれる前記監視対象機器のシステム接続情報が前記接続許可リストに登録されていない場合、前記監視対象機器を不正機器として判定するようにしたものである。
また、本発明にかかる上記不正アクセス監視装置の一構成例は、前記コマンド監視部が、一定の計数時間内に前記設備機器がやり取りする前記問い合わせコマンド、および/または前記応答コマンドに関するコマンド数を監視し、前記不正アクセス判定部は、前記監視時間内に前記応答コマンドの返信があった場合、前記コマンド数が規定のしきい値より増加している場合には、前記監視対象機器を不正機器として判定するようにしたものである。
また、本発明にかかる不正アクセス監視方法は、通信回線に接続されている各設備機器に対する不正機器からの不正アクセスを検知する不正アクセス監視装置において実行される不正アクセス監視方法であって、前記設備機器は、前記設備機器のシステム接続情報を問い合わせるための問い合わせコマンドに対して、前記設備機器のシステム接続情報を含む応答コマンドを送信する機能を有し、前記不正アクセス監視装置は、コマンド監視部と不正アクセス判定部とを備え、前記コマンド監視部が、前記通信回線を監視して、前記設備機器に対する前記問い合わせコマンドを検知するコマンド監視ステップと、前記不正アクセス判定部が、前記問い合わせコマンドの検知に応じて、前記問い合わせコマンドの送信元である監視対象機器に対して、前記システム接続情報を問い合わせるための問い合わせコマンドを返信する不正アクセス判定ステップとを備え、前記不正アクセス判定ステップは、前記問い合わせコマンドの返信から一定の監視時間が経過するまでに前記監視対象機器から前記応答コマンドが返信された否か監視し、前記監視時間内に前記応答コマンドの返信がなかった場合、前記監視対象機器を不正機器として判定するようにしたものである。
また、本発明にかかる上記不正アクセス監視方法は、前記不正アクセス判定ステップが、前記監視時間内に前記応答コマンドの返信があった場合、接続許可機器のシステム接続情報が予め登録されている接続許可リストを参照し、前記応答コマンドに含まれる前記監視対象機器のシステム接続情報が前記接続許可リストに登録されていない場合、前記監視対象機器を不正機器として判定するようにしたものである。
また、本発明にかかる上記不正アクセス監視方法は、前記コマンド監視ステップが、一定の計数時間内に前記設備機器がやり取りする前記問い合わせコマンド、および/または前記応答コマンドに関するコマンド数を監視し、前記不正アクセス判定ステップは、前記監視時間内に前記応答コマンドの返信があった場合、前記コマンド数が規定のしきい値より増加している場合には、前記監視対象機器を不正機器として判定するようにしたものである。
本発明によれば、監視対象機器が不正機器であり、正当なシステム接続情報を持たない場合、不正アクセス判定部からの問い合わせコマンドに対する応答コマンドを、一定の監視時間が経過するまでの間に監視対象機器から返信されない。このため、このような監視対象機器は不正機器として判定されることになり、結果として、外部からの不正アクセスを的確に検知することが可能となる。
不正アクセス監視装置の構成を示すブロック図である。 不正アクセス監視動作を示すシーケンス図である。
次に、本発明の実施の形態について図面を参照して説明する。
[第1の実施の形態]
まず、図1を参照して、本発明の第1の実施の形態にかかる不正アクセス監視装置10について説明する。図1は、不正アクセス監視装置の構成を示すブロック図である。
この不正アクセス監視装置10は、BACnetシステムなどの設備管理システム1に接続されて、不正機器30から設備管理システム1の各設備機器20に対する不正アクセスを検知する機能を有している。
設備機器20は、設備管理システム1を構成する中央監視装置(B−OWS:BACnet Operator Workstation)、コントローラ、フィールド機器などの各種の機器装置からなる。フィールド機器の具体例としては、空調器、ファン、温度センサ、アクチュエータ、防犯カメラ、防犯センサ、セキュリティーロック、警報器、ブレーカー、電流計、電圧計、照明装置、防火シャッタ等がある。
不正アクセス監視装置10には、主な機能部として、通信I/F部11、接続許可リスト記憶部12、コマンド監視部13、および不正アクセス判定部14が設けられている。
通信I/F部11は、各設備機器20が接続されている通信回線Lを介してこれら設備機器20、不正機器30、その他の外部装置(図示せず)との間で各種コマンドを送受信する機能を有している。
接続許可リスト記憶部12は、半導体メモリなどの記憶装置からなり、通信回線Lに対して接続が許可されている設備機器20やその他の外部装置などの接続許可機器に関する、ベンダー識別子、デバイスオブジェクト識別子、正規MACアドレスなどのシステム接続情報が予め登録されている接続許可リストを記憶する機能を有している。
コマンド監視部13は、通信回線Lから通信I/F部11で受信した各種コマンドを監視して、BACnetシステムにおけるWho−IsサービスやWho−Hasサービスなど、設備管理システム1で用いるシステム接続情報を相手機器に問い合わせるための問い合わせコマンドを検知する機能と、一定の計数時間内に各設備機器20がやり取りする問い合わせコマンド、および/または応答コマンドに関するコマンド数を監視する機能とを有している。
不正アクセス判定部14は、コマンド監視部13による問い合わせコマンドの検知に応じて、当該問い合わせコマンドの送信元となる監視対象機器に対して問い合わせコマンドを返信する機能と、当該問い合わせコマンドに対する、例えばBACnetシステムにおけるI−amコマンドなどの応答コマンドが、当該問い合わせコマンドの返信から一定の監視時間が経過するまでに監視対象機器から返信された否か監視する機能と、監視時間内に返信がなかった場合には監視対象機器を不正機器として判定する機能とを有している。
また、不正アクセス判定部14は、監視時間内に返信があった場合には接続許可リスト記憶部12の接続許可リストを参照し、監視対象機器からの応答コマンドで通知されたシステム接続情報に基づいて、監視対象機器が接続許可機器であるか不正機器であるかを判定する機能と、監視時間内に応答コマンドの返信があった場合、コマンド数が規定のしきい値より増加している場合には、監視対象機器を不正機器として判定する機能と、得られた判定結果を、通信I/F部11から通信回線Lを介して外部装置へ通知し、あるいは/および、自装置のモニタ画面に表示する機能とを有している。
[第1の実施の形態の動作]
次に、図2を参照して、本実施の形態にかかる不正アクセス監視装置10の動作について説明する。図2は、不正アクセス監視動作を示すシーケンス図である。
通信回線Lに接続された不正機器30は、各設備機器20に対して不正アクセスする際、これら設備機器20に対してブロードキャストで問い合わせコマンドを送信する(ステップ100)。これは、問い合わせコマンドに対する各設備機器20からの応答コマンドにより、各設備機器20への不正アクセスに必要となる設備機器20のシステム接続情報を収集するためである。
不正アクセス監視装置10は、コマンド監視部13により、不正機器30からの問い合わせコマンドが検知された場合、問い合わせコマンドの送信元である不正機器30を監視対象機器とし、問い合わせコマンドに対する応答コマンドに代えて、不正アクセス判定部14から問い合わせコマンドが返信される(ステップ101)。
不正機器30は、不正アクセス監視装置10からの問い合わせコマンドを受信した場合、自己が不正機器30であるため正当なシステム接続情報を返信できない。
したがって、不正アクセス監視装置10では、不正アクセス判定部14により、当該問い合わせコマンドの返信から一定の監視時間が経過するまでに監視対象機器から応答コマンドが返信されたか否かを監視し(ステップ102)、監視時間内に返信がなかった場合には(ステップ102:NO)、監視対象機器を不正機器30として判定する(ステップ103)。
また、監視時間内に何らかの応答コマンドが監視対象機器から返信された場合(ステップ110)、不正アクセス監視装置10では、不正アクセス判定部14により、接続許可リスト記憶部12の接続許可リストを参照し、監視対象機器からの応答コマンドに含まれるシステム接続情報が接続許可リストに登録されているか否か確認する(ステップ111)。
ここで、監視対象機器のシステム接続情報が接続許可リストに登録されていない場合(ステップ111:NO)、不正アクセス判定部14は、監視対象機器が接続許可機器であるか不正機器30であると判定する(ステップ112)。
[第1の実施の形態の効果]
このように、本実施の形態は、コマンド監視部13が、通信回線Lを監視して、設備機器20に対する問い合わせコマンドを検知し、不正アクセス判定部14が、問い合わせコマンドの検知に応じて、問い合わせコマンドの送信元である監視対象機器に対して、問い合わせコマンドを返信し、問い合わせコマンドの返信から一定の監視時間が経過するまでに監視対象機器から応答コマンドが返信された否か監視し、監視時間内に応答コマンドの返信がなかった場合、監視対象機器を不正機器30として判定するようにしたものである。
これにより、監視対象機器が不正機器30であり、正当なシステム接続情報を持たない場合、不正アクセス判定部14からの問い合わせコマンドに対する応答コマンドを、一定の監視時間が経過するまでの間に監視対象機器から返信されない。このため、このような監視対象機器は不正機器30として判定されることになり、結果として、外部からの不正アクセスを的確に検知することが可能となる。
また、本実施の形態において、不正アクセス判定部14が、監視時間内に応答コマンドの返信があった場合、接続許可機器のシステム接続情報が予め登録されている接続許可リスト記憶部12の接続許可リストを参照し、応答コマンドに含まれる監視対象機器のシステム接続情報が接続許可リストに登録されていない場合、監視対象機器を不正機器30として判定するようにしてもよい。
これにより、監視対象機器が不正アクセス判定部14からの問い合わせコマンドに対して何らかの応答コマンドを監視時間内に返信しても、その応答コマンドに含まれるシステム接続情報は、接続許可機器のシステム接続情報とは異なるものとなる。このため、このような監視対象機器は不正機器30として判定されることになり、結果として、外部からの不正アクセスを的確に検知することが可能となる。
[第2の実施の形態]
次に、本発明の第2の実施の形態にかかる不正アクセス監視装置10について説明する。本実施の形態では、通信回線Lでやり取りされるコマンド数の変化に基づき不正機器30かどうか判定する場合について説明する。
本実施の形態において、コマンド監視部13は、一定の計数時間内に設備機器がやり取りする問い合わせコマンド、および/または応答コマンドに関するコマンド数を監視する機能を有している。
また、不正アクセス判定部14は、コマンド数が規定のしきい値より増加している場合には、監視対象機器を不正機器30と判定する機能を有している。
通常、問い合わせコマンドや応答コマンドは、設備機器20間で周期的にやり取りされている。したがって、一定の計数期間内にやり取りされるコマンド数は、規定のしきい値以下となる。一方、不正機器30が通信回線Lに接続されて設備機器20に対して問い合わせコマンドを送信した場合、設備機器20から応答コマンドが返信されて、コマンド数が一時的に上昇して規定のしきい値を超えることになる。このため、このようなコマンド数を監視しておけば、不正機器30が接続されて不正アクセスが開始されたかどうか判定することができる。
第1の実施の形態では、不正アクセス監視装置10から返信した問い合わせコマンドに対する応答コマンドが、監視時間内に監視対象機器から返信された場合、接続許可リストにより不正機器30かどうか判定する場合を例として説明した。この際、監視時間内に監視対象機器から返信された場合には、本実施の形態を適用して、通信回線L上のコマンド数の変化に基づき監視対象機器が不正機器30かどうか判定するようにしてもよい。これにより、接続許可リストを省くことができる。
[実施の形態の拡張]
以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しうる様々な変更をすることができる。また、各実施形態については、矛盾しない範囲で任意に組み合わせて実施することができる。
1…設備管理システム、10…不正アクセス監視装置、11…通信I/F部、12…接続許可リスト記憶部、13…コマンド監視部、14…不正アクセス判定部、L…通信回線。

Claims (6)

  1. 通信回線に接続されている各設備機器に対する不正機器からの不正アクセスを検知する不正アクセス監視装置であって、
    前記設備機器は、前記設備機器のシステム接続情報を問い合わせるための問い合わせコマンドに対して、前記設備機器のシステム接続情報を含む応答コマンドを送信する機能を有し、
    前記通信回線を監視して、前記設備機器に対する前記問い合わせコマンドを検知するコマンド監視部と、
    前記問い合わせコマンドの検知に応じて、前記問い合わせコマンドの送信元である監視対象機器に対して、前記システム接続情報を問い合わせるための問い合わせコマンドを返信する不正アクセス判定部とを備え、
    前記不正アクセス判定部は、前記問い合わせコマンドの返信から一定の監視時間が経過するまでに前記監視対象機器から前記応答コマンドが返信された否か監視し、前記監視時間内に前記応答コマンドの返信がなかった場合、前記監視対象機器を不正機器として判定する
    ことを特徴とする不正アクセス監視装置。
  2. 請求項1に記載の不正アクセス監視装置において、
    前記不正アクセス判定部は、前記監視時間内に前記応答コマンドの返信があった場合、接続許可機器のシステム接続情報が予め登録されている接続許可リストを参照し、前記応答コマンドに含まれる前記監視対象機器のシステム接続情報が前記接続許可リストに登録されていない場合、前記監視対象機器を不正機器として判定することを特徴とする不正アクセス監視装置。
  3. 請求項1に記載の不正アクセス監視装置において、
    前記コマンド監視部は、一定の計数時間内に前記設備機器がやり取りする前記問い合わせコマンド、および/または前記応答コマンドに関するコマンド数を監視し、
    前記不正アクセス判定部は、前記監視時間内に前記応答コマンドの返信があった場合、前記コマンド数が規定のしきい値より増加している場合には、前記監視対象機器を不正機器として判定することを特徴とする不正アクセス監視装置。
  4. 通信回線に接続されている各設備機器に対する不正機器からの不正アクセスを検知する不正アクセス監視装置において実行される不正アクセス監視方法であって、
    前記不正アクセス監視装置は、コマンド監視部と不正アクセス判定部とを備え、
    前記設備機器は、前記設備機器のシステム接続情報を問い合わせるための問い合わせコマンドに対して、前記設備機器のシステム接続情報を含む応答コマンドを送信する機能を有し、
    前記コマンド監視部が、前記通信回線を監視して、前記設備機器に対する前記問い合わせコマンドを検知するコマンド監視ステップと、
    前記不正アクセス判定部が、前記問い合わせコマンドの検知に応じて、前記問い合わせコマンドの送信元である監視対象機器に対して、前記システム接続情報を問い合わせるための問い合わせコマンドを返信する不正アクセス判定ステップとを備え、
    前記不正アクセス判定ステップは、前記問い合わせコマンドの返信から一定の監視時間が経過するまでに前記監視対象機器から前記応答コマンドが返信された否か監視し、前記監視時間内に前記応答コマンドの返信がなかった場合、前記監視対象機器を不正機器として判定する
    ことを特徴とする不正アクセス監視方法。
  5. 請求項4に記載の不正アクセス監視方法において、
    前記不正アクセス判定ステップは、前記監視時間内に前記応答コマンドの返信があった場合、接続許可機器のシステム接続情報が予め登録されている接続許可リストを参照し、前記応答コマンドに含まれる前記監視対象機器のシステム接続情報が前記接続許可リストに登録されていない場合、前記監視対象機器を不正機器として判定することを特徴とする不正アクセス監視方法。
  6. 請求項4に記載の不正アクセス監視方法において、
    前記コマンド監視ステップは、一定の計数時間内に前記設備機器がやり取りする前記問い合わせコマンド、および/または前記応答コマンドに関するコマンド数を監視し、
    前記不正アクセス判定ステップは、前記監視時間内に前記応答コマンドの返信があった場合、前記コマンド数が規定のしきい値より増加している場合には、前記監視対象機器を不正機器として判定することを特徴とする不正アクセス監視方法。
JP2016202292A 2016-10-14 2016-10-14 不正アクセス監視装置および方法 Active JP6835526B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016202292A JP6835526B2 (ja) 2016-10-14 2016-10-14 不正アクセス監視装置および方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016202292A JP6835526B2 (ja) 2016-10-14 2016-10-14 不正アクセス監視装置および方法

Publications (2)

Publication Number Publication Date
JP2018063618A JP2018063618A (ja) 2018-04-19
JP6835526B2 true JP6835526B2 (ja) 2021-02-24

Family

ID=61966947

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016202292A Active JP6835526B2 (ja) 2016-10-14 2016-10-14 不正アクセス監視装置および方法

Country Status (1)

Country Link
JP (1) JP6835526B2 (ja)

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003218873A (ja) * 2002-01-24 2003-07-31 Fujitsu Ltd 通信監視装置及び監視方法
JP4670670B2 (ja) * 2005-03-23 2011-04-13 パナソニック株式会社 構内交換機システム
JP5269619B2 (ja) * 2009-01-06 2013-08-21 株式会社東芝 外部装置を監視する装置、方法およびプログラム
US20120297457A1 (en) * 2010-11-15 2012-11-22 Brian Schulte Interactive Malware Detector
JP5651615B2 (ja) * 2012-02-16 2015-01-14 日立オートモティブシステムズ株式会社 車載ネットワークシステム
JP2016010089A (ja) * 2014-06-26 2016-01-18 株式会社日立製作所 トラフィック監視システム

Also Published As

Publication number Publication date
JP2018063618A (ja) 2018-04-19

Similar Documents

Publication Publication Date Title
US10826684B1 (en) System and method of validating Internet of Things (IOT) devices
KR101634295B1 (ko) IoT 보안을 위한 인증 서비스 제공 시스템 및 방법
KR101369727B1 (ko) 캡차를 기반으로 하는 트래픽 제어 장치 및 그 방법
KR101885720B1 (ko) Iot환경 개별 실내 공기질 제어가 가능한 원격 빌딩 제어 시스템
JP2009017562A (ja) ネットワーク機器についての早期警告のための方法と装置
EP3002645B1 (en) Systems and methods for advanced confirmation of control operations
CN106656995B (zh) 设备控制方法和装置
JP6117050B2 (ja) ネットワーク制御装置
CN112765679B (zh) 一种传感器数据管理方法、装置、系统及存储介质
JP6835526B2 (ja) 不正アクセス監視装置および方法
US9124581B2 (en) Industrial automation system and method for safeguarding the system
JP7125317B2 (ja) 不正アクセス監視装置および方法
US12028708B2 (en) Method and system for authorizing the communication of a network node
US20210037381A1 (en) Method and System for Authorizing the Communication of a Network Node
KR101429178B1 (ko) 무선 네트워크 보안 시스템 및 방법
JP2018128758A (ja) 不正アクセス妨害装置および方法
KR101896527B1 (ko) 원격 함체 관리 시스템 및 제어 방법
JP2018116451A (ja) 設備管理システム、設備機器、不正アクセス監視装置、および方法
KR102196970B1 (ko) 콘솔 접속을 통한 보안 취약점 점검 장치 및 그 방법
KR102655602B1 (ko) IoT 케어 센서를 이용한 홈 네트워크 시스템
CN112866172A (zh) 安全防护方法、装置、智能家居系统和计算机可读介质
CN105142231A (zh) 无线网络和方法
KR101767211B1 (ko) 홈 네트워크 시스템 및 그의 구동방법
EP4369230A1 (en) Malware detection method, malware detection device, and program
WO2023282193A1 (ja) マルウェア検知方法、マルウェア検知装置、及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190917

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200716

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200804

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200831

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210126

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210204

R150 Certificate of patent or registration of utility model

Ref document number: 6835526

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250