[发明专利]攻击探测装置、攻击探测方法以及攻击探测程序

说明书

攻击探测装置具备：异常探测部，通过取得包括设备ID的异常探测结果，探测在与设备ID对应的设备中发生异常；存储部，将把设备ID和调整时刻关联起来的数据存储为调整历史数据；以及攻击判定部，根据由异常探测部探测的探测结果，从存储于存储部的调整历史数据，求出与设备ID对应的设备的调整频度，在调整频度超过针对该设备设定的容许次数的情况下，判定为该设备受到攻击。

技术领域

本发明例如涉及探测工厂、车间等的设备受到网络攻击的攻击探测装置、攻击探测方法以及攻击探测程序。

背景技术

有在工厂、车间等的设备的正常状态或者故障状态已知的情况下，比较过去的日志和当前的举动，使用基于比较结果的偏离程度，探测设备的异常的方法(参照例如专利文献1、2)。

进而，有在无法事先定义设备的正常状态的情况下，根据过去的日志适应地推测设备的正常状态的方法(参照例如专利文献3)。

这些以往的方法在探测工厂、车间等的设备的异常的情况下有效。

现有技术文献

专利文献

专利文献1：日本专利第6148316号公报

专利文献2：日本特开2018-073258号公报

专利文献3：日本特开平08-014955号公报

发明内容

然而，不论是上述以往的方法的哪一个，都难以判定探测的异常起因于设备自身的故障或者劣化还是起因于来自外部的网络攻击。

本发明是为了解决上述课题而完成的，其目的在于得到能够判定探测的设备异常是否起因于网络攻击的攻击探测装置、攻击探测方法以及攻击探测程序。

本发明所涉及的攻击探测装置，具备：异常探测部，通过取得包括用于识别设备的设备ID的异常探测结果，探测在与所述设备ID对应的设备中发生异常；以及攻击判定部，根据包含于从所述异常探测部发送的所述异常探测结果的所述设备ID，从将所述设备ID和表示针对在所述设备中发生的异常进行调整的时刻的调整时刻关联起来的调整历史数据，求出与所述设备ID对应的所述设备的调整频度，在所述调整频度超过针对所述设备预先设定的容许次数的情况下，判定为所述设备受到攻击。

另外，本发明所涉及的攻击探测方法，具备：异常探测步骤，通过取得包括用于识别设备的设备ID的异常探测结果，探测在与所述设备ID对应的设备中发生异常，发送所述异常探测结果；以及攻击判定步骤，根据包含于在所述异常探测步骤中发送的所述异常探测结果的所述设备ID，从将所述设备ID和表示针对在所述设备中发生的异常进行调整的时刻的调整时刻关联起来的调整历史数据，求出与所述设备ID对应的所述设备的调整频度，在所述调整频度超过针对所述设备预先设定的容许次数的情况下，判定为所述设备受到攻击。

另外，本发明所涉及的攻击探测程序，用于使计算机执行：异常探测步骤，通过取得包括用于识别设备的设备ID的异常探测结果，探测在与所述设备ID对应的设备中发生异常，发送所述异常探测结果；以及攻击判定步骤，根据包含于在所述异常探测步骤中发送的所述异常探测结果的所述设备ID，从将所述设备ID和表示针对在所述设备中发生的异常进行调整的时刻的调整时刻关联起来的调整历史数据，求出与所述设备ID对应的所述设备的调整频度，在所述调整频度超过针对所述设备预先设定的容许次数的情况下，判定为所述设备受到攻击。

根据本发明所涉及的攻击探测装置、攻击探测方法以及攻击探测程序，能够判定探测的设备异常是否起因于网络攻击。

附图说明

图1是本发明的实施方式1所涉及的探测服务器的结构图。

图2是示出本发明的实施方式1中的储存于存储部的调整历史数据的数据结构的图。