本公开涉及监视装置及监视方法。
背景技术:
1、以往,在设置于工厂设施等中的控制系统中,采用单独的通信方式,以单独的通信线连接而进行通信并工作,但随着因特网的普及,正逐渐采用利用高速化、低价化得到发展的通用协议即ethernet(注册商标)、ip(internet protocol)的控制装置间的通信标准。
2、但是,通过采用通用的通信标准,暴露于包括恶意软件等的网络攻击的风险下的危险性也变高。
3、因此,在工厂设施内的控制系统中,较多地尝试使用intrusion detectionsystem(ids,入侵检测系统)对网络进行监视,检测异常的通信并进行应对。在控制系统中,基本上根据预先设定的逻辑而自动产生处理,产生其处理所需要的通信量,所以容易学习作为基础的行为。因此,能经常看到使用拥有行为异常检测功能的ids来检测异常的通信的情况。
4、作为行为异常检测的实现方法,有专利文献1所记载的方法等。在专利文献1中公开了使用正常数据的有效载荷的字节串的出现频度分布来检测异常的方法。
5、现有技术文献
6、专利文献
7、专利文献1:日本特许第5307090号公报
技术实现思路
1、发明要解决的课题
2、但是,在控制系统中,在偶尔发生的维修等非恒常性的操作时,大多实施由人进行的操作。由人进行的操作由于其趋向与通过日常的自动处理发生的操作不同,所以拥有行为异常检测功能的ids将其检测为异常的通信的情况较多。
3、本公开提供能够抑制通过由人进行的操作而可能发生的误检测的监视装置及监视方法。
4、用于解决课题的手段
5、有关本公开的一技术方案的监视装置具备:用户输入取得部,取得基于用户对输入装置的输入的信息;以及通信异常检测部,检测被观测到的通信的异常,上述通信异常检测部基于在发送源或目的地中包含监视对象设备的包的信息以及基于与该包对应的上述输入的信息,检测上述通信的异常。
6、有关本公开的一技术方案的监视方法,取得基于用户对输入装置的输入的信息,基于在发送源或目的地中包含监视对象设备的包的信息以及基于与该包对应的上述输入的信息,检测通信的异常。
7、发明效果
8、根据有关本公开的一技术方案的监视装置及监视方法,能够抑制通过由人进行的操作而可能发生的误检测。
1.一种监视装置,其中,具备:
2.如权利要求1所述的监视装置,其中,
3.如权利要求2所述的监视装置,其中,
4.如权利要求3所述的监视装置,其中,
5.如权利要求3所述的监视装置,其中,
6.如权利要求1所述的监视装置,其中,
7.如权利要求6所述的监视装置,其中,
8.如权利要求7所述的监视装置,其中,
9.如权利要求4或5所述的监视装置,其中,
10.如权利要求9所述的监视装置,其中,
11.如权利要求9所述的监视装置,其中,
12.如权利要求8所述的监视装置,其中,
13.如权利要求12所述的监视装置,其中,
14.如权利要求13所述的监视装置,其中,
15.如权利要求1~8、12~14中任一项所述的监视装置,其中,
16.如权利要求1~8、12~14中任一项所述的监视装置,其中,
17.如权利要求1~8、12~14中任一项所述的监视装置,其中,
18.一种监视方法,其中,