异常检测系统、异常检测方法、以及程序与流程

本公开涉及对控制系统将来是否会陷入异常状态进行检测的异常检测装置、异常检测方法、以及程序。

背景技术：

1、近年来，攻击工厂、楼房、电力系统等中的控制系统的黑客攻击不断高级化，因此不但要求要有像以往那样的边界防御的对策以外，还要求要有将被入侵作为前提的安全对策。对此，开始导入在控制系统内部对由攻击者进行的向控制系统的网络的入侵进行检测的系统。

2、在控制系统中，由于大多数是利用预先决定的通信配对或通信协议来进行运转的，因此比较容易将这些通信配对或通信协议的组合作为白名单来定义。例如，专利文献1公开了一种对利用了白名单的入侵以及攻击进行检测的系统。

3、在专利文献1中公开了如下的入侵检测系统，该入侵检测系统着眼于在控制系统通信配对以及通信协议因控制系统的系统状态(运转中、停止中、检查中等)的不同而不同这一点，针对控制系统的各种系统状态，预先对白名单进行定义，并按照控制系统的控制状态来选择适用的白名单，对入侵以及攻击进行检测。

4、(现有技术文献)

5、(专利文献)

6、专利文献1：日本专利第6509462号公报

技术实现思路

1、发明要解决的课题

2、在专利文献1公开的入侵检测系统中，对于如工厂的生产线这样系统状态的转移的边界明确的控制系统，能够适用白名单。系统状态的转移的边界明确的控制系统是，例如能够明确地对运转中、停止中、检查中这样的系统状态的转移的边界进行定义的控制系统。但是关于如社会基础设施这样365天24小时持续运转的控制系统，系统状态的转移的边界并不明确，这其中包括难以定义系统状态的情况或有无法设想的状态的情况。在这样的情况下，难以适用白名单，并且不能进行恰当的异常检测。

3、并且，在对ip地址的通信配对或通信协议单位的白名单进行定义的情况下，对于利用白名单中所定义的正规协议来进行控制值变更等的冒充攻击，不能进行恰当的异常检测。

4、本公开提供一种能够进行恰当的异常检测的异常检测系统等。

5、用于解决课题的手段

6、本公开一个方式所涉及异常检测系统是对控制系统将来是否会陷入异常状态进行检测的异常检测系统，其特征在于，所述异常检测系统具有：寄存器值收集部，从对所述控制系统进行控制的控制器收集多个寄存器编号的寄存器值；将来状态估计部，对所述控制系统将来的状态进行估计；黑名单制作部，根据由所述将来状态估计部估计出的结果，来制作黑名单；黑名单管理部，保存所制作的黑名单；异常判断部，通过将所述寄存器值收集部收集的寄存器值与所述黑名单管理部中保存的黑名单对照，从而对所述控制系统是否会陷入异常状态进行判断；以及输出部，对所述异常判断部的判断的结果进行输出，所述黑名单制作部，将估计寄存器编号和所述估计寄存器编号的寄存器值的范围作为黑名单来定义，并按照所述寄存器值收集部收集的多个寄存器编号的寄存器值的组合来动态地制作黑名单，所述估计寄存器编号是，由所述寄存器值收集部收集了寄存器值的多个寄存器编号之中被估计为当寄存器值被变更时所述控制系统将来会陷入异常状态的寄存器编号，所述估计寄存器编号的寄存器值的范围是所述控制系统被估计为会陷入异常状态的寄存器值的范围。

7、发明效果

8、通过上述方式，能够进行恰当的异常检测。

技术特征：

1.一种异常检测系统，是对控制系统将来是否会陷入异常状态进行检测的异常检测系统，其特征在于，

2.如权利要求1所述的异常检测系统，其特征在于，

3.如权利要求1所述的异常检测系统，其特征在于，

4.如权利要求1至3的任一项所述的异常检测系统，其特征在于，

5.如权利要求4所述的异常检测系统，其特征在于，

6.如权利要求5所述的异常检测系统，其特征在于，

7.如权利要求4所述的异常检测系统，其特征在于，

8.如权利要求5所述的异常检测系统，其特征在于，

9.一种异常检测方法，是由对控制系统将来是否会陷入异常状态进行检测的异常检测系统执行的异常检测方法，其特征在于，

10.一种程序，该程序用于使计算机执行权利要求9所述的异常检测方法。

技术总结
异常检测系统(200)具有：寄存器值收集部(240)，从控制器(104)收集多个寄存器编号的寄存器值；将来状态估计部(210)，对控制系统将来的状态进行估计；黑名单制作部(280)，根据上述估计出的结果来制作黑名单；异常判断部(250)，通过将收集的寄存器值与黑名单对照，从而对控制系统是否会陷入异常状态进行判断；以及输出部(270)，对上述判断的结果进行输出，黑名单制作部(280)将估计寄存器编号和该估计寄存器编号的寄存器值的范围作为黑名单来定义，并按照收集的寄存器值的组合来动态地制作黑名单，该估计寄存器编号是被估计为当寄存器值被变更时控制系统将来会陷入异常状态的估计寄存器编号，该估计寄存器编号的寄存器值的范围是控制系统被估计为会陷入异常状态的寄存器值的范围。

技术研发人员：平石力哉,平本琢士,大庭达海
受保护的技术使用者：松下电器（美国）知识产权公司
技术研发日：
技术公布日：2024/1/15