攻击检测装置、攻击检测方法和攻击检测程序与流程

本发明涉及攻击检测装置、攻击检测方法和攻击检测程序。

背景技术：

近年来，伴随着控制系统与网络连接的情况的增加，控制系统成为网络攻击的目标的情况增加。为了检测基于网络攻击的针对网络的入侵和攻击，在控制系统中使用入侵攻击检测系统。

利用控制系统的网络通信固定这样的性质，在现有的入侵攻击检测系统中，定义记载有发送目的地地址与发送方地址的对或协议这样的被许可的通信的白名单。此外，作为针对基于正常通信组合的攻击或基于操作员的不正当操作的攻击的对策，已开发出着眼于系统状态的入侵攻击检测系统。

在专利文献1中公开有如下技术：使用通知系统状态的分组，判定是否是与系统状态对应的正常的通信模式，由此检测入侵和攻击。

现有技术文献

专利文献

专利文献1：国际公开第2014/155650号

技术实现要素：

发明要解决的课题

专利文献1的入侵攻击检测系统通过从服务器装置或控制器发送的状态通知分组掌握系统状态，判定是否是与状态对应的通信模式。在该专利文献1的入侵攻击检测系统中，需要将发送状态通知分组的功能嵌入服务器装置或控制器中。因此，存在需要对现有机器进行功能的追加和修改这样的课题。

本发明的攻击检测装置根据通信数据估计系统状态，使用估计出的系统状态和白名单实现攻击检测。这样，本发明的攻击检测装置根据通信数据估计系统状态，因此，不需要在机器中嵌入状态通知功能，能够容易地导入到机器中。

用于解决课题的手段

本发明的攻击检测装置检测针对具有设备和对所述设备进行控制的服务器装置的控制系统的攻击，该控制系统在多个系统状态间转变，其中，所述攻击检测装置具有：白名单存储部，其按照所述多个系统状态的每个系统状态，对应地存储有白名单，所述白名单定义了属于所述控制系统的在所述系统状态下被许可的系统信息；状态估计部，其取得在所述服务器装置与所述设备之间通信的通信数据，根据所取得的通信数据估计所述控制系统的当前的系统状态；以及攻击判定部，其从所述白名单存储部取得与所述当前的系统状态对应的白名单，根据所取得的白名单和属于所述当前的系统状态下的所述控制系统的系统信息判定是否检测到所述攻击。

发明效果

在本发明的攻击检测装置中，白名单存储部按照多个系统状态的每个系统状态，对应地存储有白名单，白名单定义了属于控制系统的在系统状态下被许可的系统信息。状态估计部取得在服务器装置与设备之间通信的通信数据，根据所取得的通信数据估计控制系统的当前的系统状态。攻击判定部从白名单存储部取得与当前的系统状态对应的白名单，根据所取得的白名单和属于当前的系统状态下的控制系统的系统信息判定是否检测到攻击。由此，根据本发明的攻击检测装置，能够根据通信数据估计系统状态，能够使用估计出的系统状态进行攻击检测，因此，能够容易地导入到机器中。

附图说明

图1是示出控制系统的系统结构例100的图。

图2是实施方式1的控制系统700和攻击检测装置200的结构图。

图3是实施方式1的状态存储部241的结构图。

图4是实施方式1的白名单存储部242的结构图。

图5是示出实施方式1的攻击检测装置200的攻击检测方法510和攻击检测程序520的攻击检测处理s100的流程图。

图6是示出实施方式1的攻击判定处理s10的流程图。

图7是示出实施方式1的状态估计处理s30的流程图。

图8是示出实施方式1的攻击检测装置200的具体动作的图。

图9是实施方式1的变形例的攻击检测装置200的结构图。

具体实施方式

下面，使用附图对本发明的实施方式进行说明。另外，在各图中，对相同或相当的部分标注相同标号。在实施方式的说明中，针对相同或相当的部分，适当省略或简化说明。

实施方式1

***结构的说明***

使用图1对控制系统的系统结构例100进行说明。

在图1的系统结构例100中，控制系统具有信息系统网络101、控制系统网络102、现场网络103、服务器装置104、控制器105、现场器件106和攻击检测装置200。

信息系统网络101是在办公室内利用的网络，连接有服务器装置104。

控制系统网络102是流过从服务器装置104向控制器105发送的操作量和从控制器105向服务器装置104发送的观测量的网络。

现场网络103是流过从控制器105朝向现场器件106的控制信号和传感器信息的网络。

在图1的系统结构例100中，攻击检测装置200与控制系统网络102连接。另外，图1的系统结构例100是控制系统的一般结构，控制系统不需要具有图1所示的全部结构。在控制系统具有图1所示的结构的一部分的情况下，也能够将本实施方式应用于控制系统。此外，攻击检测装置200也可以与控制系统网络102以外的现场网络103连接。

使用图2对本实施方式的控制系统700和攻击检测装置200的结构进行说明。

控制系统700具有攻击检测装置200、服务器装置300、设备400和设备500。攻击检测装置200、服务器装置300、设备400和设备500与控制系统网络600连接。

控制系统700具有设备400、500和对设备400、500进行控制的服务器装置300。此外，控制系统700在多个系统状态间转变。具体而言，设备是控制器。

攻击检测装置200与控制系统网络600连接，收集在服务器装置300与设备400和设备500之间发送接收的通信数据601。攻击检测装置200将收集到的通信数据601作为通信数据206，根据通信数据206估计控制系统700的当前的控制状态。将由通信接口部250接收后的通信数据601记作通信数据206。此外，下面，将控制系统700的当前的控制状态称作系统状态或简称作状态。

此外，攻击检测装置200将收集到的通信数据206与白名单209进行核对，检测针对控制系统700的攻击。攻击检测装置200也称作入侵攻击检测装置。由攻击检测装置200进行的动作是攻击检测方法510的例子。

设备400和设备500是攻击检测装置200的监视对象设备。具体而言，设备400和设备500分别是控制器。设备400和设备500分别在与服务器装置300之间发送接收通信数据601。

另外，在不需要区分设备400和设备500的情况下，简单地记作设备或控制器。

服务器装置300对设备400和设备500进行管理。

如图2所示，攻击检测装置200是计算机。

攻击检测装置200具有处理器910、存储装置920、输入接口930、输出接口940和通信装置950这样的硬件。存储装置920包含存储器921和辅助存储装置922。

攻击检测装置200作为功能结构具有状态估计部210、攻击判定部220、警报部230、存储部240和通信接口部250。状态估计部210具有通信数据处理部211和观测部212。存储部240具有状态存储部241和白名单存储部242。

通信数据处理部211、观测部212、攻击判定部220和警报部230的功能通过软件实现。

存储部240通过存储器921实现。此外，存储部240也可以仅通过辅助存储装置922实现，或者通过存储器921和辅助存储装置922实现。存储部240的实现方法是任意的。

通信接口部250通过通信装置950实现。

处理器910经由信号线而与其他硬件连接，对这些其他硬件进行控制。处理器910是进行运算处理的ic(integratedcircuit：集成电路)。处理器910是cpu(centralprocessingunit：中央处理单元)或mpu(micro-processingunit：微处理单元)。

具体而言，辅助存储装置922是rom(readonlymemory：只读存储器)、闪存或hdd(harddiskdrive：硬盘驱动器)。具体而言，存储器921是ram(randomaccessmemory：随机存取存储器)。

输入接口930是与鼠标、键盘、触摸面板这样的输入装置连接的端口。具体而言，输入接口930是usb(universalserialbus：通用串行总线)端子。另外，输入接口930也可以是与lan(localareanetwork：局域网)连接的端口。

输出接口940是连接有显示器这样的显示设备的缆线的端口。具体而言，输出接口940是usb端子或hdmi(注册商标)(highdefinitionmultimediainterface：高清晰度多媒体接口)端子。具体而言，显示器是lcd(liquidcrystaldisplay：液晶显示器)。

通信装置950经由控制系统网络600而与服务器装置300、设备400和设备500进行通信。通信装置950具有接收机和发送机。具体而言，通信装置950是通信芯片或nic(networkinterfacecard：网络接口卡)。通信装置950是进行数据通信的通信部。接收机是接收数据的接收部。发送机是发送数据的发送部。

在辅助存储装置922中存储有实现通信数据处理部211、观测部212、攻击判定部220和警报部230的功能的程序。实现通信数据处理部211、观测部212、攻击判定部220和警报部230的功能的程序也称作攻击检测程序520。该程序载入到存储器921中，读入到处理器910中，通过处理器910来执行。此外，在辅助存储装置922中存储有os。os的至少一部分载入到存储器921中。处理器910一边执行os，一边执行攻击检测程序520。在图2中，示意地示出处理器910正在执行实现通信数据处理部211、观测部212、攻击判定部220和警报部230的功能的程序的状态。

攻击检测装置200可以仅具有1个处理器910，也可以具有多个处理器910。多个处理器910也可以协作执行实现通信数据处理部211、观测部212、攻击判定部220和警报部230的功能的程序。

表示通信数据处理部211、观测部212、攻击判定部220和警报部230的处理结果的信息、数据、信号值和变量值存储在攻击检测装置200的辅助存储装置922、存储器921或处理器910内的寄存器或高速缓冲存储器中。

实现通信数据处理部211、观测部212、攻击判定部220和警报部230的功能的程序也可以存储在移动记录介质中。具体而言，移动记录介质是磁盘、软盘、光盘、高密度盘、蓝光(注册商标)盘、dvd(digitalversatiledisc：数字多功能盘)。

另外，攻击检测程序产品是记录有攻击检测程序520的存储介质和存储装置。攻击检测程序产品与外观无关，是指载入有计算机能读取的程序的产品。

***功能结构的说明***

接着，对图2所示的通信接口部250、状态估计部210、攻击判定部220、警报部230和白名单存储部242的功能进行说明。

通信接口部250经由控制系统网络600接收在服务器装置300、设备400和设备500之间发送接收的通信数据601。然后，通信接口部250将接收到的通信数据601作为通信数据206输出到状态估计部210和攻击判定部220。

此外，通信接口部250接收来自警报部230的警报231，将接收到的警报231作为警报602发送到服务器装置300。

这样，通信接口部250在攻击检测装置200的内部要素与控制系统网络600之间进行数据的发送接收。

状态估计部210取得在服务器装置300与设备400和设备500之间通信的通信数据601，根据所取得的通信数据601估计控制系统700的当前的系统状态。状态估计部210从通信接口部250取得通信数据206。状态估计部210对所取得的通信数据206进行分析，估计控制系统700的当前的系统状态。状态估计部210将包含估计出的系统状态在内的系统状态信息207存储在状态存储部241。另外，状态估计部210也可以将系统状态信息207直接输出到攻击判定部220。

另外，通信数据206是属于控制系统700的系统信息701的例子。

图3是示出本实施方式的状态存储部241的结构的图。

状态存储部241存储当前的系统状态41和转变成当前的系统状态之前的系统状态42。在状态存储部241中存储有系统状态411和转变前状态412作为系统状态信息207。系统状态411是当前的系统状态41的例子。转变前状态412是转变成当前的系统状态41之前的系统状态42的例子。系统状态信息207中包含的控制系统700的状态转变是属于控制系统700的系统信息701的例子。

状态估计部210将本次估计出的系统状态存储在状态存储部241的系统状态411中，将上次估计出的系统状态存储在状态存储部241的转变前状态412中。

白名单存储部242按照多个系统状态的每个系统状态，对应地存储有白名单，白名单定义了属于控制系统的在系统状态下被许可的系统信息。白名单存储部242保持与系统状态对应的多个白名单209。白名单209是用于许可预先设定的正常通信的规则。在白名单209中考虑状态转变白名单901和通信数据白名单902。

图4是示出本实施方式的白名单存储部242的结构的图。

白名单存储部242按照多个系统状态的每个系统状态，对应地存储有通信数据白名单902作为白名单209，该通信数据白名单902定义了在系统状态下被许可的通信数据作为系统信息701。

此外，白名单存储部242按照多个系统状态的每个系统状态，对应地存储有状态转变白名单901作为白名单209，该状态转变白名单901定义了被许可为转变成系统状态之前的系统状态的转变前状态作为系统信息701。

状态转变白名单901是定义了正常的系统状态的转变的白名单。状态转变白名单901通过转变前状态、定义了作为转变触发的命令这样的条件的转变条件、转变后状态来定义。状态转变白名单901用于判定系统状态的转变是否是基于攻击的转变。

通信数据白名单902是按照每个系统状态定义了正常的通信数据的白名单。通信数据白名单902按照每个系统状态，通过协议类别、ip地址或端口编号这样的发送方信息和发送目的地信息、数据长度、命令或设定值的范围这样的有效载荷条件和一定周期内的通信的产生这样的周期条件来定义。通信数据白名单902用于判定通信数据是否是基于攻击的数据。

攻击判定部220根据由状态估计部210估计出的系统状态信息207，从白名单存储部242取得与当前的系统状态对应的白名单209。

攻击判定部220从白名单存储部242取得与当前的系统状态41对应的白名单209，根据所取得的白名单209和属于当前的系统状态41下的控制系统700的系统信息701，判定是否检测到攻击。具体而言，系统信息701是通信数据206或系统状态信息207中包含的控制系统700的状态转变。

攻击判定部220从存储部240取得系统状态信息207。或者，攻击判定部220也可以从状态估计部210直接取得系统状态信息207。然后，攻击判定部220从白名单存储部242选择与系统状态信息207所示的系统状态411对应的白名单209。即，攻击判定部220选择与由状态估计部210估计出的系统状态411对应的白名单209。然后，攻击判定部220使用选择出的白名单209检测针对控制系统700的攻击。

更具体而言，攻击判定部220从通信接口部250取得通信数据206，在所取得的通信数据206中应用选择出的白名单209。然后，攻击判定部220判定通信数据206是否是在当前的系统状态下被许可的通信数据。除了通信数据206的全部属性与白名单209的全部项目一致的情况以外，攻击判定部220判定为通信数据206不符合白名单209。在通信数据206不符合白名单209的情况下，攻击判定部220将存在攻击的判定结果221输出到警报部230。

警报部230在由攻击判定部220判定为检测到攻击的情况下，向服务器装置300发送警报231。具体而言，警报部230在从攻击判定部220取得判定结果221的情况下，向服务器装置300发送警报231。

服务器装置300向操作员提示来自警报部230的警报602。服务器装置300可以在显示器中显示警报602，也可以使用灯这样的显示器提示警报602。此外，服务器装置300也可以通过语音向操作员提示警报602。此外，服务器装置300也可以向其他服务器装置发送警报602。

***动作的说明***

图5是示出本实施方式的攻击检测装置200的攻击检测方法510和攻击检测程序520的攻击检测处理s100的流程图。攻击检测程序520使作为计算机的攻击检测装置200执行以下所示的各处理。

另外，图5的攻击检测装置200的动作流程是一例，攻击检测装置200的动作流程未必如图5所示。

在步骤s110中，当攻击检测装置200起动时，攻击检测装置200在白名单存储部240中设定白名单209。

在步骤s120中，攻击检测装置200进行系统状态信息207的初始设定。攻击检测装置200例如使用白名单中记载的系统状态作为系统状态信息207的初始状态。

在步骤s130中，在服务器装置300、设备400和设备500这样的检测攻击的对象设备进行动作的期间内，反复进行步骤s140～步骤s191的处理。

在步骤s140中，攻击判定部220确认有无来自通信接口部250的通信数据206。在不存在通信数据206的情况下，攻击判定部220持续确认有无通信数据206。在存在通信数据206的情况下，处理进入步骤s150。

在步骤s150中，攻击判定部220取得通信数据206。

<攻击判定处理s10>

在步骤s160中，攻击判定部220执行攻击判定处理s10。

使用图6对本实施方式的攻击判定处理s10进行说明。

在步骤s11中，攻击判定部220从状态存储部241取得系统状态信息207。在系统状态信息207中设定有系统状态411作为当前的系统状态41。

在步骤s12中，攻击判定部220从白名单存储部242取得与系统状态信息207所示的当前的系统状态41对应的白名单209。具体而言，攻击判定部220从白名单存储部242取得与当前的系统状态41对应的通信数据白名单902。此外，攻击判定部220从白名单存储部242取得与当前的系统状态41对应的状态转变白名单901。

在步骤s13中，攻击判定部220将通信数据206与白名单209进行核对。攻击判定部220对从通信接口部250取得的通信数据206和从白名单存储部242取得的白名单209进行核对。具体而言，攻击判定部220对所取得的通信数据白名单902和由状态估计部210取得的通信数据206进行核对。

在步骤s14中，攻击判定部220将系统状态信息207所示的系统状态的转变与从白名单存储部240取得的白名单209进行核对。具体而言，攻击判定部220对所取得的状态转变白名单901和转变成当前的系统状态41之前的系统状态42即转变前状态412进行核对。

在步骤s15中，攻击判定部220判定是否存在攻击。攻击判定部220在由状态估计部210取得的通信数据206不符合所取得的通信数据白名单902的情况下，判定为检测到攻击。此外，攻击判定部220在转变成当前的系统状态411之前的转变前状态412不符合所取得的状态转变白名单901的情况下，判定为检测到攻击。具体而言，攻击判定部220在通信数据206适合于白名单209且当前的系统状态的转变适合于白名单209的情况下，判定为不存在攻击。攻击判定部220在通信数据206不符合白名单209或当前的系统状态的转变不符合白名单209的情况下，判定为存在攻击。在判定为存在攻击时，处理进入步骤s16。

在步骤s16中，攻击判定部220将通知产生异常的判定结果221输出到警报部230。在判定为不存在攻击的情况下，攻击判定部220不进行步骤s16的处理。

接着，返回图5继续进行说明。

<警报处理s20>

在步骤s170中，警报部230判定是否存在攻击。具体而言，警报部230在接收到来自攻击判定部220的判定结果221的情况下，判定为存在攻击。在判定为存在攻击时，处理进入步骤s180。在判定为不存在攻击时，处理进入步骤s190。

在步骤s180中，警报部230取得来自攻击判定部220的判定结果221，将警报231发送到通信接口部250。通信接口部250将警报231作为警报602发送到服务器装置300。

<状态估计处理s30>

在步骤s190中，状态估计部210执行根据通信数据206估计系统状态的状态估计处理s30。在状态估计处理s30中，攻击判定部220通过基于控制理论的状态观测器估计当前的系统状态。攻击判定部220取得在服务器装置300与设备400、500之间通信的通信数据601。攻击判定部220将所取得的通信数据601分类成从服务器装置300向设备400、500发送的操作量261和从设备400、500向服务器装置300发送的观测量262。攻击判定部220使用操作量261和观测量262，通过状态观测器估计当前的系统状态。

使用图7对本实施方式的状态估计处理s30进行说明。

在步骤s31中，通信数据处理部211将通信数据206分类成操作量261和观测量262。操作量261是从服务器装置300朝向设备400或设备500的通信数据。观测量262是从设备400或设备500朝向服务器装置300的通信数据。

在步骤s32中，观测部212将操作量261和观测量262作为输入，使用基于控制理论的状态观测器估计当前的系统状态。观测部212也称作状态观测部。观测部212输出估计结果作为系统状态。观测的设计通过对系统进行模型化来实现，模型化的方法可考虑有限自动机或皮特里网这样的方法。

在步骤s191中，观测部212将状态存储部240中存储的系统状态信息207的系统状态411更新成在状态估计处理s30中估计出的系统状态。此外，观测部212将系统状态信息207的转变前状态412更新成转变成当前的系统状态之前的系统状态。

通过步骤s190～步骤s191的处理，系统状态信息207的更新结束，如果检测对象设备处于动作中，则处理返回步骤s130。在检测对象设备结束动作的情况下，攻击检测装置200停止动作。

接着，使用图8对本实施方式的攻击检测装置200的具体动作进行说明。

在控制系统700中，进行“待机”→“起动中”→“运转”→“停止中”→“待机”“维护”这样的状态转变，使得处于状态转变模式790。

攻击检测装置200收集通信数据601，进行系统状态的估计，根据与估计出的系统状态对应的白名单209进行攻击判定。

(1)攻击检测装置200收集到的通信数据206包含从服务器装置300向设备400或500发送的操作量261和从设备400或500向服务器装置300发送的观测量262。状态估计部210将通信数据206分类成操作量261和观测量262。

(2)状态估计部210根据通信数据206中包含的操作量261和观测量262进行系统状态的估计。例如，在发布start命令而通知传感器1的值无效且传感器2的值无效的情况下，系统状态被估计为“待机”。此外，在发布start命令和finish命令而通知传感器1的值有效且传感器2的值有效的情况下，系统状态被估计为“运转”。在系统状态被估计为“运转”时，在系统状态信息207的系统状态411中，系统状态设定为运转，命令设定为start命令和finish命令，传感器1的值设定为有效，并且传感器2的值设定为有效。此外，在系统状态信息207的转变前状态412中，系统状态设定为起动中，不存在命令，传感器1的值设定为有效，并且传感器2的值设定为无效。

如图8的系统状态信息207所示，也可以蓄积由状态估计部210估计出的系统状态。此外，设在蓄积着的系统状态中分别设定有作为针对系统状态的转变契机的命令。

(3)攻击判定部220根据与估计出的系统状态对应的白名单209，判定是否是正常的通信数据206和正常的状态转变。如上所述，白名单209有状态转变白名单901和通信数据白名单902。

(3a)通信数据白名单902按照每个系统状态定义许可的通信数据。具体而言，通过ip地址、端口编号、数据长度和通信周期这样的属性信息定义在系统状态“待机”下被许可的通信数据。攻击判定部220根据由状态估计部210估计出的当前的系统状态，切换要参照的通信数据白名单902。

(3b)作为具体例，状态转变白名单901许可从“待机”到“起动中”的系统状态的转变，相反，未定义的从“运转”到“维护”的状态转变判定为异常。此外，也可以通过状态估计部210判定异常的状态转变。

攻击判定部220设系统状态信息207中的转变之前的系统状态为转变前状态，设当前的系统状态为转变后状态。此外，攻击判定部220设当前的系统状态所示的命令为转变条件。攻击判定部220将这些转变前状态、转变后状态和转变条件与从白名单存储部242取得的状态转变白名单901进行核对。

(4)攻击判定部220将判定结果221输出到警报部230。警报部230根据判定结果221，将警报602发送到服务器装置300。此外，警报部230也可以不仅发送警报602，还将以故障安全为目的的控制信号发送到服务器装置300。

***其他结构***

在本实施方式中，通信数据处理部211、观测部212、攻击判定部220和警报部230的功能通过软件实现。但是，作为变形例，通信数据处理部211、观测部212、攻击判定部220和警报部230的功能也可以通过硬件实现。

使用图9对本实施方式的变形例的攻击检测装置200的结构进行说明。

如图9所示，攻击检测装置200具有处理电路909、输入接口930、输出接口940和通信装置950这样的硬件。

处理电路909是实现上述通信数据处理部211、观测部212、攻击判定部220和警报部230的功能和存储部240的专用电子电路。具体而言，处理电路909是单一电路、复合电路、程序化的处理器、并行程序化的处理器、逻辑ic、ga、asic或fpga。ga是gatearray的简称。asic是applicationspecificintegratedcircuit的简称。fpga是field-programmablegatearray的简称。

通信数据处理部211、观测部212、攻击判定部220和警报部230的功能可以通过1个处理电路909实现，也可以分散在多个处理电路909中来实现。

作为其他变形例，攻击检测装置200的功能也可以通过软件与硬件的组合实现。即，也可以是攻击检测装置200的一部分功能通过专用硬件实现，其余功能通过软件实现。

将攻击检测装置200的处理器910、存储装置920和处理电路909统称作“处理线路”。即，不管攻击检测装置200的结构是图2所示的结构还是图9所示的结构，通信数据处理部211、观测部212、攻击判定部220和警报部230的功能和存储部240都通过处理线路实现。

也可以将“部”改写成“工序”或“步骤”或“处理”。此外，也可以通过固件实现“部”的功能。

***本实施方式的效果的说明***

在本实施方式的攻击检测装置200中，通过基于控制理论的状态观测器，根据通信数据估计系统状态，通过与估计出的系统状态对应的白名单进行攻击检测。这样，根据本实施方式的攻击检测装置200，根据通信数据估计系统状态，因此，不需要进行在机器中嵌入状态通知功能的修改，即使是现有的机器，也能够容易地导入。

此外，在本实施方式的攻击检测装置200中，根据通信数据估计系统状态。而且，本实施方式的攻击检测装置200使用按照估计出的每个系统状态准备的白名单，检测针对通信系统的攻击。因此，根据本实施方式，仅通过将攻击检测装置200与网络连接，就能够检测在控制器单位的白名单中组合判定为正常的通信而引起异常动作的攻击。此时，在本实施方式中，不需要进行作为服务器装置和控制器的设备这样的监视对象设备的修改。

本实施方式的攻击检测装置200是监视通信系统中包含的监视对象设备的全部通信的网络型入侵和攻击检测装置。因此，根据本实施方式，不需要用于在监视对象设备中嵌入检测功能的修改的成本。

本实施方式的攻击检测装置200根据系统状态切换白名单来进行攻击的检测。因此，本实施方式的攻击检测装置200不进行每个监视对象设备的并列检测处理。此外，本实施方式的攻击检测装置200以必要最小限度的白名单进行攻击的检测。因此，在本实施方式的攻击检测装置200中，不需要高性能的计算资源和庞大的白名单。

此外，本实施方式的攻击检测装置200在从被攻击者侵占的计算机进行了伴有按照通信时序的通信的攻击的情况下，也估计系统状态，将与系统状态对应的白名单应用于通信数据，由此能够检测该攻击。

根据本实施方式的攻击检测装置200，即使是来自遥控终端以外的终端、控制监视装置或维护终端的攻击，也能够检测经由控制系统或维护系统网络的攻击。

本实施方式的攻击检测装置200不使用进行状态通知的分组，而是根据通信数据估计状态，由此定义系统状态。因此，本实施方式的攻击检测装置200成为篡改状态通知分组的攻击的对策。

本实施方式的攻击检测装置200在仅通过操作量和观测量无法决定系统状态的情况下，也能够使用估计来决定系统状态。

在本实施方式中，将攻击检测装置200构成为通信数据处理部211、观测部212、攻击判定部220和警报部230分别独立的功能块。但是，也可以不是上述实施方式这样的结构，攻击检测装置200的结构是任意的。攻击检测装置200的功能块能够实现在上述实施方式中说明的功能即可，是任意的。也可以使这些功能块以其他任何组合或任意的块结构构成攻击检测装置。

此外，攻击检测装置也可以不是1个装置，而是由多个装置构成的攻击检测系统。

对实施方式1进行了说明，但是，也可以组合实施该实施方式中的多个部分。或者，也可以实施该实施方式中的1个部分。除此之外，也可以任意组合实施该实施方式的整体或一部分。

另外，上述实施方式是本质上优选的例示，并不意图限制本发明及其应用物和用途的范围，能够根据需要进行各种变更。

标号说明

41：当前的系统状态；42：转变之前的系统状态；100：系统结构例；101：信息系统网络；102、600：控制系统网络；103：现场网络；104：服务器装置；105：控制器；106：现场器件；200：攻击检测装置；206、601：通信数据；207：系统状态信息；209：白名单；210：状态估计部；211：通信数据处理部；212：观测部；220：攻击判定部；221：判定结果；230：警报部；231、602：警报；240：存储部；241：状态存储部；242：白名单存储部；250：通信接口部；261：操作量；262：观测量；300：服务器装置；400、500：设备；411：系统状态；412：转变前状态；510：攻击检测方法；520：攻击检测程序；700：控制系统；701：系统信息；790：状态转变模式；901：状态转变白名单；902：通信数据白名单；909：处理电路；910：处理器；920：存储装置；921：存储器；922：辅助存储装置；930：输入接口；940：输出接口；950：通信装置；s10：攻击判定处理；s20：警报处理；s30：状态估计处理；s100：攻击检测处理。