狀態檢測部(105)檢測通信系統(600)中包含的多個控制器(300、400)的狀態。攻擊判定部(103)從分別與狀態的組合對應的多個白名單(110)中選擇與由狀態檢測部(105)檢測到的多個控制器(300、400)的狀態的組合對應的白名單(110)。并且，攻擊判定部(103)利用選擇出的白名單(110)檢測對通信系統(600)的攻擊。

技術領域

本發明涉及入侵檢測裝置、入侵檢測方法以及計算機能讀取的存儲介質。

背景技術

近年來，與網絡連接的產業控制系統成為網絡攻擊目標的事例逐漸增加。

在產業控制系統中，為了檢測對產業控制系統的網絡攻擊而利用入侵檢測系統。

以往的入侵檢測系統利用產業控制系統的網絡通信是固定的情況，利用白名單來檢測網絡攻擊。在白名單中，通過發送目的地地址與發送方地址的對、通信協議等來定義許可的通信。以往的入侵檢測系統將通信數據的發送目的地地址與發送方地址的對、通信協議等與白名單中定義的發送目的地地址與發送方地址的對、通信協議等進行比較。并且，以往的入侵檢測系統在發送目的地地址與發送方地址的對、通信協議等在通信數據與白名單之間不一致的情況下，攔截該通信數據(非專利文獻1)。

在非專利文獻2中，公開有根據監視對象設備的狀態來切換白名單的入侵檢測裝置(主機型入侵檢測裝置)。根據非專利文獻2的入侵檢測裝置，能夠實現與設備的狀態相應的高精度檢測。

現有技術文獻

非專利文獻

非專利文獻1：DongHo Kang，ByoungKoo Kim，JungChan Na，KyoungSon Jhang，“Whitelists Based Multiple Filtering Techniques in SCADA Sensor Networks”，Journal of Applied Mathematics Volume 2014

非專利文獻2：山口晃由、清水孝一、小林信博、“產業控制系統中的入侵檢測手法的調查和研究”，2015年代碼和信息安全研討會(山口晃由、清水孝一、小林信博、“産業制御システムにおける入侵検知手法の調査と検討”、2015年暗號と情報セキュリティシンポジウム)

發明內容

發明要解決的課題

非專利文獻2的白名單以設備為單位定義正常的通信。并且，非專利文獻2的入侵檢測裝置根據各個設備的狀態來選擇白名單，利用選擇出的白名單對通信進行監視。

因此，在非專利文獻2中，具有無法通過組合在以設備為單位的白名單中判定為正常的通信而檢測引起異常動作的攻擊這樣的課題。

本發明的主要目的在于解決這樣的課題。即，本發明的主要目的在于，能夠通過組合在以設備為單位的白名單中判定為正常的通信而檢測引起異常動作的攻擊。

用于解決課題的手段

本發明的入侵檢測裝置具有：

狀態檢測部，其檢測通信系統中包含的多個設備的狀態；

選擇部，其從分別與狀態的組合對應的多個白名單中選擇與由所述狀態檢測部檢測到的所述多個設備的狀態的組合對應的白名單；以及

攻擊檢測部，其利用由所述選擇部選擇出的白名單檢測對所述通信系統的攻擊。

發明效果

在本發明中，從與狀態的組合對應地準備的多個白名單中選擇與通信系統中包含的多個設備的狀態的組合對應的白名單。因此，根據本發明，能夠通過組合在以設備為單位的白名單中判定為正常的通信而檢測引起異常動作的攻擊。

附圖說明