JP6932375B2 - Communication device - Google Patents

Communication device Download PDF

Info

Publication number
JP6932375B2
JP6932375B2 JP2017196360A JP2017196360A JP6932375B2 JP 6932375 B2 JP6932375 B2 JP 6932375B2 JP 2017196360 A JP2017196360 A JP 2017196360A JP 2017196360 A JP2017196360 A JP 2017196360A JP 6932375 B2 JP6932375 B2 JP 6932375B2
Authority
JP
Japan
Prior art keywords
network
packet
host
unit
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017196360A
Other languages
Japanese (ja)
Other versions
JP2018073397A (en
Inventor
芳宏 橋本
芳宏 橋本
一郎 越島
一郎 越島
雄太 高野
雄太 高野
英之 新谷
英之 新谷
将耶 小島
将耶 小島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nagoya Institute of Technology NUC
Original Assignee
Nagoya Institute of Technology NUC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nagoya Institute of Technology NUC filed Critical Nagoya Institute of Technology NUC
Priority to PCT/JP2017/038915 priority Critical patent/WO2018079716A1/en
Publication of JP2018073397A publication Critical patent/JP2018073397A/en
Application granted granted Critical
Publication of JP6932375B2 publication Critical patent/JP6932375B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、通信装置に関するものである。 The present invention relates to a communication device.

ICS(産業系制御システム)等のためのネットワークにおけるサイバーセキュリティの必要性が増している。従来は、このようなセキュリティを確保する技術として、ネットワークにハニーポットを接続させる技術が、特許文献1に記載されている。ハニーポットは、攻撃者の侵入を敢えて受け、その攻撃の内容を自機に記録する装置である。 The need for cyber security in networks for ICS (industrial control systems) and the like is increasing. Conventionally, as a technique for ensuring such security, a technique for connecting a honeypot to a network is described in Patent Document 1. A honeypot is a device that dares to invade an attacker and records the details of the attack on its own machine.

特表2008−537267号公報Japanese Patent Application Laid-Open No. 2008-537267

しかし、上記のようなハニーポットは、攻撃を待って、攻撃があったら自機に記録するだけの受動的な装置に過ぎない。したがって、従来のハニーポットは、攻撃者をコントロールすることはできない。 However, a honeypot like the one above is just a passive device that waits for an attack and records the attack on its own. Therefore, traditional honeypots have no control over the attacker.

本発明は上記点に鑑み、ネットワークへの攻撃者に対して能動的に対応して攻撃者をコントロールすることを第1の目的とする。また、攻撃に対する更なる対策を迅速に講じることができるようにすることを第2の目的とする。 In view of the above points, the first object of the present invention is to actively respond to an attacker on a network and control the attacker. The second purpose is to enable swift action against attacks.

上記第1の目的を達成するため、通信端末は、第1のネットワーク(4)に1個以上の基本仮想ホスト(A、B、C、D、P、Q、R、S、T)を生成するホストエミュレーション部(11)と、前記1個以上の基本仮想ホストのうち第1基本仮想ホスト宛に前記第1のネットワークから通信があったことに基づいて、前記第1基本仮想ホストを前記第1のネットワークから消滅させるよう、前記ホストエミュレーション部を制御するホスト制御部(12、13)と、を備える。 In order to achieve the first object, the communication terminal generates one or more basic virtual hosts (A, B, C, D, P, Q, R, S, T) in the first network (4). Based on the fact that the host emulation unit (11) and the first basic virtual host among the one or more basic virtual hosts are communicated from the first network, the first basic virtual host is referred to as the first. A host control unit (12, 13) that controls the host emulation unit so as to disappear from the network of 1 is provided.

このように、攻撃者には在ると認識されている第1基本仮想ホストを第1のネットワークから消滅させることで、攻撃者を能動的に欺瞞することができる。この欺瞞により、攻撃者をコントロールし、攻撃者に対して有利な立場で対応をすることが可能になる。 In this way, the attacker can be actively deceived by extinguishing the first basic virtual host, which is recognized by the attacker, from the first network. This deception allows you to control the attacker and respond in an advantageous position to the attacker.

上記第2の目的を達成するため、通信端末は、第1のネットワーク(4)に仮想ホスト(A、B、C、D、P、Q、R、S、T)を生成するホストエミュレーション部(11)と、前記仮想ホスト宛の通信が前記第1のネットワークからあったことに基づいて、前記仮想ホスト宛の通信のログを前記第1のネットワークの外部にある遠隔通信システム(6)に送信し始める外部通信部(14)と、を備える。 In order to achieve the second object, the communication terminal is a host emulation unit (A, B, C, D, P, Q, R, S, T) that generates virtual hosts (A, B, C, D, P, Q, R, S, T) in the first network (4). 11) and, based on the fact that the communication addressed to the virtual host was from the first network, the log of the communication addressed to the virtual host is transmitted to the remote communication system (6) outside the first network. It is provided with an external communication unit (14) that starts to operate.

このようにすることで、当該通信端末内にログを保存する場合に比べ、第1のネットワークに関わる者だけでなく、外部の者も、第1のネットワークへの攻撃を監視することができる。したがって、攻撃に対する更なる対策を迅速に講じることができる。 By doing so, as compared with the case where the log is stored in the communication terminal, not only the person involved in the first network but also an outside person can monitor the attack on the first network. Therefore, further countermeasures against attacks can be taken promptly.

なお、上記および特許請求の範囲における括弧内の符号は、特許請求の範囲に記載された用語と後述の実施形態に記載されて当該用語の例となる具体物等との対応関係を示すものである。 The reference numerals in parentheses in the above and claims indicate the correspondence between the terms described in the claims and the concrete objects described in the embodiments described later and which are examples of the terms. be.

第1実施形態に係る早期警戒システムの構成を示すブロック図である。It is a block diagram which shows the structure of the early warning system which concerns on 1st Embodiment. 早期警戒システムの作動の手順を示すシーケンス図である。It is a sequence diagram which shows the procedure of operation of an early warning system. 早期警戒システムの作動の手順を示すシーケンス図である。It is a sequence diagram which shows the procedure of operation of an early warning system. 仮想ホストが生成された状態を示す図である。It is a figure which shows the state in which a virtual host is generated. 仮想ホストにリクエストが送信された状態を示す図である。It is a figure which shows the state which the request was sent to the virtual host. ログがクラウドに送信される状態を示す図である。It is a figure which shows the state which a log is transmitted to a cloud. 仮想ホストが消滅した状態を示す図である。It is a figure which shows the state which the virtual host disappeared. 仮想ホストが再構成された状態を示す図である。It is a figure which shows the state which the virtual host is reconfigured. 仮想ホストにマルウェア送信のための通信があった状態を示す図である。It is a figure which shows the state which the virtual host communicated for sending malware. 仮想ホストと第2端末が入れ替わる状態を示す図である。It is a figure which shows the state which the virtual host and the 2nd terminal are exchanged. マルウェアが捕獲される状態を示す図である。It is a figure which shows the state in which malware is captured. 第2実施形態に係る早期警戒システムのハードウェア構成を示す図である。It is a figure which shows the hardware configuration of the early warning system which concerns on 2nd Embodiment. 早期警戒システムの機能構成を示す図である。It is a figure which shows the functional structure of an early warning system. 判断部が実行する下り転送処理のフローチャートである。It is a flowchart of the downlink transfer processing executed by the determination unit. 判断部が実行する上り転送処理のフローチャートである。It is a flowchart of the upstream transfer processing executed by the determination unit.

(第1実施形態)
以下、第1実施形態について説明する。本実施形態に係る通信システムは、第1端末1、第2端末2、通信モジュール3、ICSネットワーク4、プライベートネットワーク5、クラウド6等を有する早期警戒システムである。 (First Embodiment)
Hereinafter, the first embodiment will be described. The communication system according to the present embodiment is an early warning system having a first terminal 1, a second terminal 2, a communication module 3, an ICS network 4, a private network 5, a cloud 6, and the like.

ICSネットワーク4は、産業系制御システムに属する複数の制御機器および複数の制御対象機器等が通信のために接続するTCP/IPネットワークであり、例えば、工場に設置される。ICSネットワーク4は、単一のローカルエリアネットワークであってもよいし、複数のローカーエリアネットワークの集合体であってもよい。ICSネットワーク4は、第1のネットワークに対応する。 The ICS network 4 is a TCP / IP network in which a plurality of control devices belonging to an industrial control system and a plurality of control target devices are connected for communication, and is installed in a factory, for example. The ICS network 4 may be a single local area network or an aggregate of a plurality of local area networks. The ICS network 4 corresponds to the first network.

プライベートネットワーク5は、第1端末1と第2端末2を繋ぐローカルエリアネットワークである。プライベートネットワーク5はICSネットワーク4とは異なるネットワークであり、ICSネットワーク4とは独立に設けられている。プライベートネットワーク5は、第2のネットワークに対応する。 The private network 5 is a local area network connecting the first terminal 1 and the second terminal 2. The private network 5 is a network different from the ICS network 4, and is provided independently of the ICS network 4. The private network 5 corresponds to the second network.

第1端末1は、ICSネットワーク4に接続されてICSネットワーク4を介した通信が可能となっている。第1端末1は、いずれも不図示のCPU、RAM、ROM、フラッシュメモリ、通信インターフェース等を備えたコンピュータである。フラッシュメモリの一部は、ICSネットワーク4に対する攻撃者の攻撃記録を保存するためのログメモリ10である。 The first terminal 1 is connected to the ICS network 4 and can communicate via the ICS network 4. The first terminal 1 is a computer provided with a CPU, RAM, ROM, flash memory, communication interface, etc. (not shown). A part of the flash memory is a log memory 10 for storing an attack record of an attacker against the ICS network 4.

第1端末1のCPUは、ROM、フラッシュメモリ等に記録された種々のプログラムを実行し、その実行の際にRAMを作業領域として用いる。具体的には、第1端末1のCPUが所定のプログラムを実行することで、第1端末1がホストエミュレーション部11、ホスト切替部12、ホスト再構成部13、および外部通信部14として機能する。以下、ホストエミュレーション部11をHE部11という。ホスト切替部12、ホスト再構成部13は、それぞれが、ホスト制御部に対応する。 The CPU of the first terminal 1 executes various programs recorded in a ROM, a flash memory, or the like, and uses the RAM as a work area during the execution. Specifically, when the CPU of the first terminal 1 executes a predetermined program, the first terminal 1 functions as a host emulation unit 11, a host switching unit 12, a host reconstruction unit 13, and an external communication unit 14. .. Hereinafter, the host emulation unit 11 is referred to as an HE unit 11. Each of the host switching unit 12 and the host reconstruction unit 13 corresponds to the host control unit.

HE部11は、偽の複数個の仮想ホストを生成し、生成した複数個の仮想ホストの各々において、既知のサービスの一部機能をエミュレートする。既知のサービスとしては、Telnetサービス、FTPサービス、HTTPサービス、SSHサービス、SMBサービス等がある。 The HE unit 11 creates a plurality of fake virtual hosts, and emulates some functions of known services in each of the generated plurality of virtual hosts. Known services include Telnet service, FTP service, HTTP service, SSH service, SMB service and the like.

仮想ホストは、特定のオペレーティングシステムやサービスを実現する通信装置を仮想的に、すなわちソフトウェア的に、エミュレートする。エミュレートの範囲は、本物の現実の通信装置のオペレーティングシステムおよびサービスの機能の一部である。例えば、仮想ホストは、固有のIPアドレス、当該アドレスにおける複数のポートをエミュレートする。そして仮想ホストは、これら複数のポートに割り当てられたサービスの一部をエミュレートする。サービスのうちエミュレート対象となる部分は、例えば、通信開始時点およびその後の所定回数(例えば5回)のパケットのやりとりのみに限定される。つまり、仮想ホストは、サービスのうち、攻撃者がポートスキャン等の調査を行ったときに実際に通信装置が存在すると勘違いする程度の機能を、エミュレートする。 A virtual host emulates a communication device that realizes a specific operating system or service virtually, that is, in software. The range of emulation is part of the capabilities of the operating system and services of real-life telecommunications equipment. For example, a virtual host emulates a unique IP address, multiple ports at that address. The virtual host then emulates some of the services assigned to these multiple ports. The part of the service to be emulated is limited to, for example, the exchange of packets at the start of communication and a predetermined number of times (for example, 5 times) thereafter. That is, the virtual host emulates a function of the service that the attacker mistakenly thinks that a communication device actually exists when conducting an investigation such as port scanning.

HE部11は、あらかじめフラッシュメモリ等に記録されたコンフィグレーションに規定された内容で、上記複数個の仮想ホストを生成する。コンフィグレーションには、仮想ホスト毎に、当該仮想ホストに割り当てるIPアドレス、当該仮想ホストが偽装するオペレーティングシステムの種類、当該仮想ホストが偽装するオペレーティングシステムのバージョン、当該仮想ホストのポート番号リストが含まれている。 The HE unit 11 generates the plurality of virtual hosts according to the contents specified in the configuration recorded in the flash memory or the like in advance. The configuration includes the IP address assigned to the virtual host for each virtual host, the type of operating system that the virtual host impersonates, the version of the operating system that the virtual host impersonates, and the port number list of the virtual host. ing.

各仮想ホストのポート番号リストは、当該仮想ホスト中の複数のポートのそれぞれについて、オープンの状態にあるかクローズの状態にあるかの情報を含む。この情報は、ポート構成の情報である。 The port number list of each virtual host contains information on whether each of the plurality of ports in the virtual host is open or closed. This information is port configuration information.

オープンの状態とは、リクエストに対して確認応答する状態をいう。クローズの状態とは、リクエストに対して拒否する状態をいう。また、各仮想ホストのポート番号リストは、当該仮想ホスト中の複数のポートのそれぞれについて、部分的にエミュレートするサービスの挙動の情報を含む。 The open state is a state in which an acknowledgment is made in response to a request. The closed state is a state in which a request is rejected. In addition, the port number list of each virtual host includes information on the behavior of a service that partially emulates each of the plurality of ports in the virtual host.

また、各仮想ホストのポート番号リストは、当該仮想ホスト中の複数のポートのそれぞれについて、当該ポートにリクエスト等の通信があったときに実行すべきスクリプトが指定可能となっている。第1端末1のCPUがスクリプトを実行することで、例えば、ホスト切替部12およびホスト再構成部13が起動する。 Further, in the port number list of each virtual host, a script to be executed can be specified for each of a plurality of ports in the virtual host when a communication such as a request is made to the port. When the CPU of the first terminal 1 executes the script, for example, the host switching unit 12 and the host reconfiguring unit 13 are activated.

また、HE部11は、上述の複数個の仮想ホストに対してICSネットワーク4から通信があった場合に、その通信の内容のログをログメモリ10に記録する。 Further, when the ICS network 4 communicates with the plurality of virtual hosts described above, the HE unit 11 records a log of the contents of the communication in the log memory 10.

ホスト切替部12は、上述のHE部11用のスクリプトを書き換えてHE部11を再起動させると共に、プライベートネットワーク5を介して、後述する攻撃情報を第2端末2に通知することで、第2端末2を制御する。 The host switching unit 12 rewrites the script for the HE unit 11 described above to restart the HE unit 11 and notifies the second terminal 2 of the attack information described later via the private network 5. Control terminal 2.

ホスト再構成部13は、上述のHE部11用のスクリプトを書き換えてHE部11を再起動させる。 The host reconfiguration unit 13 rewrites the script for the HE unit 11 described above to restart the HE unit 11.

外部通信部14は、ログメモリ10に記録された上述のログを読み出し、読み出したログを通信モジュール3を介してクラウド6に送信する。 The external communication unit 14 reads the above-mentioned log recorded in the log memory 10 and transmits the read log to the cloud 6 via the communication module 3.

第2端末2は、通信線を介してICSネットワーク4と電気的に繋がっているが、ICSネットワーク4を介した通信の可能、不可能が変化するようになっている。第2端末2は、いずれも不図示のCPU、RAM、ROM、フラッシュメモリ、通信インターフェース等を備えたコンピュータである。 The second terminal 2 is electrically connected to the ICS network 4 via a communication line, but the possibility of communication via the ICS network 4 changes. The second terminal 2 is a computer provided with a CPU, RAM, ROM, flash memory, communication interface, etc. (not shown).

第2端末2のCPUは、ROM、フラッシュメモリ等に記録された種々のプログラムを実行し、その実行の際にRAMを作業領域として用いる。具体的には、第2端末2のCPUが所定のプログラムを実行することで、第2端末2が接続制御部21、捕獲部22として機能する。第2端末2は、捕獲用通信部に対応する。 The CPU of the second terminal 2 executes various programs recorded in a ROM, a flash memory, or the like, and uses the RAM as a work area during the execution. Specifically, when the CPU of the second terminal 2 executes a predetermined program, the second terminal 2 functions as the connection control unit 21 and the capture unit 22. The second terminal 2 corresponds to the capture communication unit.

接続制御部21は、第2端末2によるICSネットワーク4を介した通信の可能、不可能を切り替える。また、接続制御部21は、プライベートネットワーク5を介して第1端末1と通信する。また、接続制御部21は、捕獲部22を起動する。捕獲部22は、ICSネットワーク4を介して送られたマルウェアを捕獲して第2端末2のフラッシュメモリに記録する。 The connection control unit 21 switches between enabling and not enabling communication by the second terminal 2 via the ICS network 4. Further, the connection control unit 21 communicates with the first terminal 1 via the private network 5. Further, the connection control unit 21 activates the capture unit 22. The capture unit 22 captures the malware sent via the ICS network 4 and records it in the flash memory of the second terminal 2.

通信モジュール3は、無線通信を行うためのモジュールである。通信モジュール3は、従来のEthernetなどの有線規格を用いるのではなく、モバイル通信回線を用いたPPP(Point to Point Protocol)通信を実現する。このモバイル通信回線は、ICSネットワーク4とは異なってICSネットワーク4とは独立した通信回線である。上述の通り、外部通信部14は、ICSネットワーク4を介さずに、通信モジュール3を介して、クラウド6にログを送信する。 The communication module 3 is a module for performing wireless communication. The communication module 3 realizes PPP (Point to Point Protocol) communication using a mobile communication line, instead of using a conventional wired standard such as Ethernet. This mobile communication line is a communication line independent of the ICS network 4, unlike the ICS network 4. As described above, the external communication unit 14 transmits the log to the cloud 6 via the communication module 3 without going through the ICS network 4.

クラウド6は、1台のコンピュータまたは相互に接続された複数のコンピュータから構成される。クラウド6は、遠隔通信システムである。 The cloud 6 is composed of one computer or a plurality of computers connected to each other. Cloud 6 is a remote communication system.

第1端末1および図1に記載されていない他のネットワーク上の装置から、攻撃者の攻撃内容のログを受信し、保存する。これにより、複数のネットワークへの攻撃のログをクラウド6に集約することができる。また、クラウド6は、これら保存したログを可視化する。そして、可視化した情報をWebサービス等によって外部の装置に提供する。 The attack content log of the attacker is received and saved from the first terminal 1 and other devices on the network not shown in FIG. As a result, logs of attacks on a plurality of networks can be aggregated in the cloud 6. In addition, the cloud 6 visualizes these saved logs. Then, the visualized information is provided to an external device by a Web service or the like.

以下、このような構成の早期警戒システムの作動について説明する。図2、図3は、本実施形態における早期警戒システムの作動を示すシーケンス図である。まず、この早期警戒システムにおいて、第1端末1および第2端末2が起動される。すると、第1端末1においては、HE部11およびホスト再構成部13が起動する。ホスト再構成部13は、起動後、ステップ410で、ログメモリ10にデータが書き込まれるのを待ち受ける。 Hereinafter, the operation of the early warning system having such a configuration will be described. 2 and 3 are sequence diagrams showing the operation of the early warning system according to the present embodiment. First, in this early warning system, the first terminal 1 and the second terminal 2 are activated. Then, in the first terminal 1, the HE unit 11 and the host reconfiguration unit 13 are activated. After starting, the host reconfiguration unit 13 waits for data to be written to the log memory 10 in step 410.

HE部11は、起動後、まずステップ105で、上述のコンフィグレーションに従って、図4に示すように、複数の仮想ホストA、B、C、Dを生成する。図4では仮想ホストの数は4つであるが、生成する仮想ホストの数は2個でも、3個でも、5個以上でもよい。これら複数の仮想ホストA、B、C、Dの各々が、基本仮想ホストに対応する。 After startup, the HE unit 11 first generates a plurality of virtual hosts A, B, C, and D in step 105 according to the above configuration, as shown in FIG. Although the number of virtual hosts is four in FIG. 4, the number of virtual hosts to be generated may be two, three, or five or more. Each of these plurality of virtual hosts A, B, C, and D corresponds to a basic virtual host.

仮想ホストA、B、C、Dは、ソフトウェア的に実現する擬似的な端末である。これら仮想ホストA、B、C、Dには、ICSネットワーク4上で使用されていないIPアドレスが1つずつ付与される。仮想ホストA、B、C、DのIPアドレスはそれぞれ異なる。なお、仮想ホストAのIPアドレスはAAである。これらのような仮想ホストA、B、C、Dは、HE部11の一部として機能する。 The virtual hosts A, B, C, and D are pseudo terminals realized by software. IP addresses that are not used on the ICS network 4 are assigned to each of these virtual hosts A, B, C, and D. The IP addresses of the virtual hosts A, B, C, and D are different. The IP address of the virtual host A is AA. Virtual hosts A, B, C, and D such as these function as a part of the HE unit 11.

各仮想ホストは、ICSネットワーク4から自ホストのIPアドレスのオープン状態のポートにリクエスト(例えば、SYNパケット)等の通信があると、送信元に応答(例えば、SYN+ACKパケット)を送信する。各仮想ホストは、ICSネットワーク4から自ホストのIPアドレスのクローズ状態のポートにリクエスト(例えば、SYNパケット)等の通信があると、送信元に応答(例えば、RST+ACKパケット)を送信する。 When there is a communication such as a request (for example, SYN packet) from the ICS network 4 to the open port of the IP address of the own host, each virtual host sends a response (for example, SYN + ACK packet) to the source. When there is a communication such as a request (for example, SYN packet) from the ICS network 4 to the closed port of the IP address of the own host, each virtual host sends a response (for example, RST + ACK packet) to the source.

その他、各仮想ホストは、ICSネットワーク4から自ホストのIPアドレスのポートに周知のポートスキャン等の調査のためのパケットが送信されると、当該パケットに対する所定のプロトコルに従った応答を、送信元に送信する。 In addition, when a packet for investigation such as a well-known port scan is transmitted from the ICS network 4 to the port of the IP address of the own host, each virtual host sends a response to the packet according to a predetermined protocol to the source. Send to.

このようになっていることで、攻撃者がポートスキャン等の調査を行うと、これら仮想ホストの存在およびポート構成の情報が、ICSネットワーク4上の他の端末についての同様の情報と共に、攻撃者に伝わる。HE部11は、ステップ105で複数の仮想ホストを生成した後、ステップ110で、これら仮想ホスト宛の通信を待ち受ける。 As a result, when an attacker investigates a port scan or the like, the information on the existence and port configuration of these virtual hosts, together with similar information on other terminals on the ICS network 4, is displayed by the attacker. It is transmitted to. The HE unit 11 generates a plurality of virtual hosts in step 105, and then waits for communication addressed to these virtual hosts in step 110.

なお、仮想ホストA、B、C、Dのそれぞれが有する複数のポートは、図4に示すように、第1種のポートP1と第2種のポートP2に分かれる。どのポートを第1種のポートP1としどのポートを第2種のポートP2とするかは、あらかじめ第1端末1において定められている。例えば、捕獲部22が捕獲可能なマルウェアが送り込まれる可能性が高いポートを第2種のポートとし、それ以外のポートを第1種のポートとすることができる。 As shown in FIG. 4, the plurality of ports possessed by each of the virtual hosts A, B, C, and D are divided into a type 1 port P1 and a type 2 port P2. Which port is the first type port P1 and which port is the second type port P2 is determined in advance in the first terminal 1. For example, a port on which the capture unit 22 is likely to send malware that can be captured can be a type 2 port, and other ports can be a type 1 port.

ここで、図5に示すように、攻撃者が、ICSネットワーク4に侵入して、ポートスキャンのため、仮想ホストAの特定の第1種のポートP1または第2種のポートP2にリクエストPS(例えばSYNパケット)等の通信を送信したとする。この場合、仮想ホストAが第1基本仮想ホストに対応する。 Here, as shown in FIG. 5, an attacker breaks into the ICS network 4 and requests a specific type 1 port P1 or a type 2 port P2 of the virtual host A for port scanning. For example, it is assumed that a communication such as a SYN packet) is transmitted. In this case, the virtual host A corresponds to the first basic virtual host.

このとき、HE部11は、ステップ110からステップ115に進み、上述の通り、当該通信に対する応答(例えば、SYN+ACKパケット)を送信元に送信する。 At this time, the HE unit 11 proceeds from step 110 to step 115, and as described above, transmits a response to the communication (for example, a SYN + ACK packet) to the transmission source.

続いてHE部11は、ステップ120で、図5に示すように、仮想ホストAが受けた通信のログをログメモリ10に記録する。通信のログとしては、例えば、受信したパケットそのものおよび受信時刻を記録してもよいし、受信したパケットの特徴を記録しても良い。受信したパケットの特徴としては、送信元IPアドレス、宛先IPアドレス、パケットの種別、受信時刻等がある。 Subsequently, in step 120, the HE unit 11 records the communication log received by the virtual host A in the log memory 10 as shown in FIG. As the communication log, for example, the received packet itself and the reception time may be recorded, or the characteristics of the received packet may be recorded. The characteristics of the received packet include a source IP address, a destination IP address, a packet type, a reception time, and the like.

ログがログメモリ10に記録されると、外部通信部14が、ログメモリ10へのログの書き込みを検知して、ステップ410から420に進む。そして外部通信部14は、ステップ420で、図6に示すように、ログメモリ10に記録されたログを読み込み、クラウド6への送信用として適切なフォーマットにログを整形し、整形された後のログをクラウド6に送信する。この後、外部通信部14は、ログメモリ10に新たに記録された攻撃者の通信のログを、通信モジュール3を用いて、繰り返し定期的に(例えば5秒間隔、1分間隔で)クラウド6に送信する。 When the log is recorded in the log memory 10, the external communication unit 14 detects the writing of the log to the log memory 10 and proceeds from step 410 to 420. Then, in step 420, the external communication unit 14 reads the log recorded in the log memory 10 as shown in FIG. 6, shapes the log into a format suitable for transmission to the cloud 6, and after shaping the log. Send the log to cloud 6. After that, the external communication unit 14 uses the communication module 3 to repeatedly and periodically (for example, every 5 seconds and 1 minute) the cloud 6 of the attacker's communication newly recorded in the log memory 10. Send to.

外部通信部14が攻撃者の通信のログをクラウド6に繰り返し送信し始めるタイミングは、仮想ホストのいずれか宛にICSネットワーク4を介した通信があったタイミングである。外部通信部14による当該ログのクラウド6への繰り返し送信が終了するタイミングは、どの仮想ホスト宛にも第2端末2宛にもICSネットワーク4を介した通信が所定期間(例えば、30分)連続して来なかったタイミングである。 The timing at which the external communication unit 14 starts repeatedly transmitting the attacker's communication log to the cloud 6 is the timing at which communication via the ICS network 4 is made to any of the virtual hosts. The timing at which the external communication unit 14 finishes repeatedly transmitting the log to the cloud 6 is that communication via the ICS network 4 to any virtual host or to the second terminal 2 is continuous for a predetermined period (for example, 30 minutes). It is the timing that did not come.

このように、攻撃者の通信ログが、ICSネットワーク4を介さずにモバイル通信回線を介してクラウド6にリアルタイムで送信される。したがって、第1端末1からクラウド6への通信経路が携帯会社保有の基地局を介した通信経路となるので、攻撃者等がログメモリ10にアクセスするリスクを低減する事が可能である。したがって、攻撃者の通信ログの送信をセキュアに行うことができる。 In this way, the attacker's communication log is transmitted to the cloud 6 in real time via the mobile communication line without going through the ICS network 4. Therefore, since the communication path from the first terminal 1 to the cloud 6 becomes the communication path via the base station owned by the mobile company, it is possible to reduce the risk of an attacker or the like accessing the log memory 10. Therefore, the attacker's communication log can be transmitted securely.

クラウド6は、ステップ610で、上記のように外部通信部14から送信されたログを受信して、自システムの記憶媒体に記録する。続いてクラウド6は、ステップ620で、直前に受信したログと、それよりも前に第2端末2または他の装置から受信しているログに基づいて、攻撃者に関する特徴を容易に視認可能な形式の攻撃データ(例えば、グラフを含むhtmlデータ)を作成する。これにより、作成された攻撃データは、クラウド6によって実行されているWebサービス等の情報提供サービスを介して、外部から閲覧可能となる。そしてクラウド6は、外部の通信装置から攻撃データを閲覧する要求を受信すると、ステップ630で、上記のように作成した攻撃データを、当該閲覧要求元の通信装置に、Webサービスを利用して送信する。あるいは、クラウド6は、ログを可視化したタイミングで、メール、アラート等を利用してリアルタイムで外部の装置に提供してもよい。 In step 610, the cloud 6 receives the log transmitted from the external communication unit 14 as described above and records it in the storage medium of its own system. The cloud 6 then can easily see the characteristics of the attacker in step 620 based on the log received immediately before and the log received from the second terminal 2 or another device prior to that. Create attack data in the form (eg, html data including graphs). As a result, the created attack data can be viewed from the outside via an information providing service such as a Web service executed by the cloud 6. Then, when the cloud 6 receives a request for viewing the attack data from an external communication device, the cloud 6 transmits the attack data created as described above to the communication device of the viewing request source using the Web service in step 630. do. Alternatively, the cloud 6 may be provided to an external device in real time by using an e-mail, an alert, or the like at the timing when the log is visualized.

このようにすることで、第1端末1内にログを保存する場合に比べ、ICSネットワーク4への攻撃の情報を、ICSネットワーク4に関わる人のみ監視できるだけでなく、他のプラントや工場に関わる人も監視が可能となる。したがって、攻撃に対する更なる対策を迅速に広範囲に講じることができる。 By doing so, compared to the case where the log is saved in the first terminal 1, not only the information of the attack on the ICS network 4 can be monitored only by the person related to the ICS network 4, but also related to other plants and factories. People can also be monitored. Therefore, further countermeasures against attacks can be taken quickly and extensively.

一方、HE部11は、ステップ120でログを記録した後、ステップ125に進む。そしてHE部11は、ステップ125で、直前に受けた仮想ホストAへの通信は、第1種のポートP1への通信だったか否かを判定する。そしてHE部11は、第1種のポートP1への通信だった場合は、ステップ130に進み、第1種ポートでなく第2種のポートP2への通信だった場合は、ステップ140に進む。 On the other hand, the HE unit 11 records the log in step 120 and then proceeds to step 125. Then, in step 125, the HE unit 11 determines whether or not the communication to the virtual host A received immediately before is the communication to the port P1 of the first type. Then, the HE unit 11 proceeds to step 130 when the communication is to the first type port P1, and proceeds to step 140 when the communication is to the second type port P2 instead of the first type port.

ステップ130では、ホスト再構成部13を起動する。これにより、ホスト再構成部13が起動し、まずステップ310で、仮想ホストのコンフィグレーションを変更する。この変更は、あらかじめ定められた規則で行ってもよいし、ランダムに行ってもよい。 In step 130, the host reconfiguration unit 13 is started. As a result, the host reconfiguration unit 13 is started, and first, in step 310, the configuration of the virtual host is changed. This change may be made according to predetermined rules or may be made randomly.

例えば、現在の複数の仮想ホストがすべて消去され、現在の複数の仮想ホストのIPアドレス群とは異なるIPアドレス群が付与された新たな複数の仮想ホストが含まれるように、コンフィギュレーションを変更してもよい。新たな複数の仮想ホストの数は、現在の複数の仮想ホストの数と同じであってもよいし異なっていてもよい。新たな複数の仮想ホストのオペレーティングシステムの構成およびポート構成は、現在の複数の仮想ホストと全く異なっていてもよいし、部分的に一致していてもよい。変更後のコンフィグレーションには、現在の複数の仮想ホストの一部が残っていてもよい。 For example, change the configuration so that all current virtual hosts are erased and new virtual hosts with IP addresses different from the current IP addresses of the virtual hosts are included. You may. The number of new virtual hosts may be the same as or different from the current number of virtual hosts. The operating system configuration and port configuration of the new plurality of virtual hosts may be completely different from the current plurality of virtual hosts, or may be partially matched. Some of the current virtual hosts may remain in the modified configuration.

しかし、変更後のコンフィグレーションからは、直前のステップ110で通信を受信した仮想ホストAは必ず除外する。ただし、変更後のコンフィグレーションには、直前のステップ110で通信を受信した仮想ホストAと同じIPアドレスでオペレーティングシステムの構成が異なっている新たな仮想ホストが含められていてもよい。また、変更後のコンフィグレーションには、直前のステップ110で通信を受信した仮想ホストAと同じIPアドレスでポート構成が異なっている新たな仮想ホストが含められていてもよい。 However, the virtual host A that received the communication in the immediately preceding step 110 is always excluded from the changed configuration. However, the changed configuration may include a new virtual host having the same IP address as the virtual host A that received the communication in the immediately preceding step 110 but having a different operating system configuration. Further, the modified configuration may include a new virtual host having the same IP address as the virtual host A that received the communication in the immediately preceding step 110 but having a different port configuration.

続いてホスト再構成部13は、ステップ320で、HE部11を再起動させる。するとHE部11は、ステップ135で再起動する。これにより、図7に示すように、現在の複数の仮想ホストがICSネットワーク4から一旦消滅する。 Subsequently, the host reconfiguration unit 13 restarts the HE unit 11 in step 320. Then, the HE unit 11 is restarted in step 135. As a result, as shown in FIG. 7, the current plurality of virtual hosts temporarily disappear from the ICS network 4.

そしてその後、HE部11が再起動することにより、図8に示すように、変更後のコンフィグレーションに含まれる新たな仮想ホストP、Q、R、S、TがICSネットワーク4上に生成される。すなわち、仮想ホストが更新される。これら複数の仮想ホストP、Q、R、S、Tの各々が、追加仮想ホストに対応する。 After that, when the HE unit 11 is restarted, as shown in FIG. 8, new virtual hosts P, Q, R, S, and T included in the changed configuration are generated on the ICS network 4. .. That is, the virtual host is updated. Each of these plurality of virtual hosts P, Q, R, S, and T corresponds to an additional virtual host.

図8の例では、再起動後も、再起動の直前まで存在していた仮想ホストA、B、C、DがICSネットワーク4から消滅している。そして、仮想ホストAと同じIPアドレスを有する新たな別の仮想ホストは生成されていない。したがって、仮想ホストP、Q、R、S、TのIPアドレスは、仮想ホストAのIPアドレスとは異なる。 In the example of FIG. 8, even after the restart, the virtual hosts A, B, C, and D that existed until just before the restart disappear from the ICS network 4. Then, another new virtual host having the same IP address as the virtual host A has not been created. Therefore, the IP addresses of the virtual hosts P, Q, R, S, and T are different from the IP addresses of the virtual host A.

このようになっていることで、攻撃者側が調査のための通信を仮想ホストAに行った場合、応答を受けることで、仮想ホストAの存在を確認し、応答の内容によっては脆弱性の可能性も確認する。そのような状況で当該仮想ホストAをICSネットワーク4から消滅させることで、攻撃者を能動的に欺瞞することができる。この欺瞞により、攻撃者をコントロールし、攻撃者に対して有利な立場で対応をすることが可能になる。 By doing this, when the attacker communicates with virtual host A for investigation, it confirms the existence of virtual host A by receiving a response, and depending on the content of the response, it may be vulnerable. Also check the sex. By extinguishing the virtual host A from the ICS network 4 in such a situation, an attacker can be actively deceived. This deception allows you to control the attacker and respond in an advantageous position to the attacker.

具体的には、ポートスキャン等の調査で存在が確認された仮想ホストAが応答しなくなり、しかも、仮想ホストAのIPアドレスとは別のIPアドレスに別の仮想ホストP、Q、R、Sが現れる。したがって、攻撃者が混乱する。例えば、攻撃者が再度ポートスキャン等の調査をしなければいけなくなる。その結果、攻撃者の攻撃が遅延する。この遅延により、攻撃者に先んじて攻撃に対する対策を実施することが可能になる。 Specifically, the virtual host A whose existence has been confirmed by a port scan or other investigation stops responding, and the virtual hosts P, Q, R, and S are assigned to an IP address different from the IP address of the virtual host A. Appears. Therefore, the attacker is confused. For example, an attacker will have to investigate port scans again. As a result, the attacker's attack is delayed. This delay makes it possible to take countermeasures against the attack ahead of the attacker.

再起動して新たな仮想ホストを生成したHE部11は、ステップ110に戻り、新たな仮想ホスト宛のリクエスト等の通信を待ち受ける。攻撃者が再度ポートスキャン等の調査を行う場合は、HE部11は、ステップ110、115、120、125、130、135を実行することで、再度仮想ホストを更新する。このようにすれば、攻撃者から見れば、ポートスキャン等の調査をする度にICSネットワーク4のネットワーク構成が異なるように見えるので、攻撃者が混乱し、攻撃が遅延する。 The HE unit 11 that has restarted and generated a new virtual host returns to step 110 and waits for communication such as a request addressed to the new virtual host. When the attacker investigates the port scan or the like again, the HE unit 11 updates the virtual host again by executing steps 110, 115, 120, 125, 130, and 135. In this way, from the attacker's point of view, the network configuration of the ICS network 4 seems to be different each time a port scan or the like is investigated, so that the attacker is confused and the attack is delayed.

ここで、HE部11がステップ110で待ち受けをしているときに、何らかの方法で攻撃者がマルウェアを送り込む先の攻撃対象の仮想ホストおよびポートを定めたとする。そして攻撃者が、図9に示すように、当該ポートを標的としてマルウェアMWを送り込むための通信を行ったとする。そして、このポートが所定の第2種のポートP2であったとする。 Here, it is assumed that while the HE unit 11 is listening in step 110, the attack target virtual host and port to which the attacker sends the malware are determined by some method. Then, as shown in FIG. 9, it is assumed that the attacker communicates to send the malware MW targeting the port. Then, it is assumed that this port is a predetermined second-class port P2.

このとき生成されている仮想ホストは、ホストA、B、C、Dでもよいし、図9のようにホストP、Q、R、S、Tでもよいし、他の仮想ホストでもよい。このとき生成されている複数の仮想ホストが、複数の基本仮想ホストである。図9の例では、攻撃対象が仮想ホストRとなっている。この場合は、仮想ホストRが第1基本仮想ホストである。 The virtual host generated at this time may be hosts A, B, C, D, hosts P, Q, R, S, T as shown in FIG. 9, or other virtual hosts. The plurality of virtual hosts generated at this time are a plurality of basic virtual hosts. In the example of FIG. 9, the attack target is the virtual host R. In this case, the virtual host R is the first basic virtual host.

この場合、HE部11は、ステップ115、120を上述の様に行った後、ステップ125で直前に受けた仮想ホストAへの通信は、第1種のポートP1への通信でなかったと判定し、ステップ140に進む。HE部11は、ステップ140で、当該第2種のポートP2への通信に、マルウェア送信の兆候があるか否かを判定する。 In this case, after performing steps 115 and 120 as described above, the HE unit 11 determines that the communication to the virtual host A received immediately before in step 125 is not the communication to the port P1 of the first type. , Step 140. In step 140, the HE unit 11 determines whether or not there is a sign of malware transmission in the communication to the port P2 of the second type.

マルウェアを送り込むために攻撃者が採用する通信の方法としては、既知の方法が種々ある。例えば、SMBサービスのポートに対して所定の攻撃パケットを送信した後にマルウェアを送信することで、当該ポートを有するコンピュータにマルウェアを保存させるという手法がある。この場合は、当該所定の攻撃パケットが送信されたことが、マルウェア送信の兆候である。また例えば、複数回(例えば5回)連続して同じ第2種のポートP2にパケットが送信されたことを、マルウェア送信の兆候であるとしてもよい。 There are various known methods of communication adopted by attackers to send malware. For example, there is a method in which malware is stored in a computer having the port by transmitting malware after transmitting a predetermined attack packet to the port of the SMB service. In this case, the transmission of the predetermined attack packet is a sign of malware transmission. Further, for example, the fact that a packet is transmitted to the same type 2 port P2 a plurality of times (for example, 5 times) in succession may be a sign of malware transmission.

マルウェア送信の兆候がない場合、HE部11はステップ110に戻る。マルウェア送信の兆候がある場合、HE部11はステップ145に進み、ホスト切替部12を起動する。なお、マルウェア送信の兆候がある場合、HE部11は、送信元に応答を返す場合も返さない場合もある。 If there is no sign of malware transmission, HE unit 11 returns to step 110. If there is a sign of malware transmission, the HE unit 11 proceeds to step 145 and activates the host switching unit 12. If there is a sign of malware transmission, the HE unit 11 may or may not return a response to the sender.

起動したホスト切替部12は、ステップ210で、プライベートネットワーク5を介して、攻撃情報を第2端末2の接続制御部21に送信する。攻撃情報は、当該マルウェア送信の兆候に関する情報である。攻撃情報は、攻撃対象の仮想ホスト(図9の例では仮想ホストR)のIPアドレスAR、攻撃対象のポート番号、攻撃時に攻撃対象が受けたパケットの種類、当該パケットの内容、攻撃対象の仮想ホストのポート構成、攻撃対象の仮想ホストのオペレーティングシステム等を含む。 In step 210, the activated host switching unit 12 transmits attack information to the connection control unit 21 of the second terminal 2 via the private network 5. The attack information is information regarding the signs of the malware transmission. The attack information includes the IP address AR of the attack target virtual host (virtual host R in the example of FIG. 9), the attack target port number, the type of packet received by the attack target at the time of the attack, the content of the packet, and the attack target virtual. Includes host port configuration, attack target virtual host operating system, etc.

このように、既に攻撃者が侵入しているICSネットワーク4とは異なるプライベートネットワーク5を介して第1基本仮想ホストのアドレスが送信される。したがって、マルウェア捕獲のための手順を攻撃者に知られる可能性を低くすることができる。つまり、マルウェア捕獲をセキュアに行うことができる。 In this way, the address of the first basic virtual host is transmitted via the private network 5 which is different from the ICS network 4 in which the attacker has already invaded. Therefore, it is possible to reduce the possibility that the attacker will know the procedure for capturing malware. That is, malware capture can be performed securely.

続いてホスト切替部12は、ステップ220で、現在の仮想ホストのコンフィグレーションから、攻撃対象の仮想ホスト(図9では仮想ホストR)の情報を削除する。続いてホスト切替部12は、ステップ230で、HE部11を再起動する。するとHE部11は、ステップ150で再起動する。これにより、現在の複数の仮想ホストがICSネットワーク4から一旦消滅した後、図10に示すように、攻撃対象の仮想ホストのみがICSネットワーク4から消去された状態のまま、それまでの複数の仮想ホストP、Q、S、Tが再度生成される。 Subsequently, in step 220, the host switching unit 12 deletes the information of the attack target virtual host (virtual host R in FIG. 9) from the current virtual host configuration. Subsequently, the host switching unit 12 restarts the HE unit 11 in step 230. Then, the HE unit 11 is restarted in step 150. As a result, after the current plurality of virtual hosts have once disappeared from the ICS network 4, as shown in FIG. 10, only the attack target virtual host remains deleted from the ICS network 4, and the plurality of virtual hosts up to that point have been deleted. Hosts P, Q, S, T are regenerated.

このように、攻撃者にはあると認識されている攻撃対象の仮想ホストをICSネットワーク4から消滅させることで、攻撃者を能動的に欺瞞することができる。この欺瞞により、攻撃者をコントロールし、攻撃者に対して有利な立場で対応をすることが可能になる。 In this way, the attacker can be actively deceived by extinguishing the virtual host of the attack target, which is recognized by the attacker, from the ICS network 4. This deception allows you to control the attacker and respond in an advantageous position to the attacker.

一方、第2端末2の接続制御部21は、第1端末1のホスト切替部12から攻撃情報を受信したことに基づいて、ステップ510に進む。ステップ510では、受信した攻撃情報に基づいて、第2端末2をICSネットワーク4を介して通信可能な状態にする。 On the other hand, the connection control unit 21 of the second terminal 2 proceeds to step 510 based on receiving the attack information from the host switching unit 12 of the first terminal 1. In step 510, the second terminal 2 is brought into a communicable state via the ICS network 4 based on the received attack information.

このとき、接続制御部21は、第2端末2のIPアドレスとして、当該攻撃情報に含まれる攻撃対象のIPアドレスAR(図10の例では仮想ホストRのIPアドレス)を採用する。これにより、ICSネットワーク4から消滅した仮想ホストRと同じIPアドレスで、第2端末2がICSネットワーク4に接続される。 At this time, the connection control unit 21 adopts the IP address AR of the attack target included in the attack information (the IP address of the virtual host R in the example of FIG. 10) as the IP address of the second terminal 2. As a result, the second terminal 2 is connected to the ICS network 4 with the same IP address as the virtual host R that has disappeared from the ICS network 4.

続いて接続制御部21は、ステップ520で、当該攻撃情報に応じて、捕獲部22のコンフィグレーションを作成する。具体的には、捕獲部22が攻撃対象の仮想ホストと同じポート構成およびオペレーティングシステムをエミュレートするように、捕獲部22のコンフィグレーションを作成する。また、捕獲部22が攻撃パケットを攻撃対象のポート番号にて受けたと仮定した状態、すなわち、マルウェアの侵入を受け入れ可能な状態をエミュレートするように、捕獲部22のコンフィグレーションを作成する。 Subsequently, in step 520, the connection control unit 21 creates a configuration of the capture unit 22 according to the attack information. Specifically, the capture unit 22 is configured so that the capture unit 22 emulates the same port configuration and operating system as the virtual host to be attacked. Further, the configuration of the capture unit 22 is created so as to emulate a state in which the capture unit 22 receives an attack packet at the port number of the attack target, that is, a state in which the intrusion of malware can be accepted.

続いて接続制御部21は、ステップ530で、捕獲部22を起動する。これにより、捕獲部22は、作成されたコンフィグレーションに従った構成で起動する。この状態で起動した捕獲部22は、上述の通り、攻撃対象のポートでマルウェアを受け入れ可能な状態にある。しかも、攻撃者は、攻撃対象の仮想ホストが第2端末2に置き換わったことに気付かないまま、捕獲部22にマルウェアを送信する。 Subsequently, the connection control unit 21 activates the capture unit 22 in step 530. As a result, the capture unit 22 is activated with a configuration according to the created configuration. As described above, the capture unit 22 activated in this state is in a state where malware can be accepted at the attack target port. Moreover, the attacker sends the malware to the capture unit 22 without noticing that the virtual host to be attacked has been replaced by the second terminal 2.

したがって、図11に示すように、捕獲部22は、ステップ710で、マルウェアを受信して第2端末2のフラッシュメモリに記録する。これにより、捕獲部22内にマルウェアが捕獲される。 Therefore, as shown in FIG. 11, the capture unit 22 receives the malware and records it in the flash memory of the second terminal 2 in step 710. As a result, the malware is captured in the capture unit 22.

このように、複数の仮想ホストのいずれかにマルウェア送信の兆候となる通信があった場合に、その通信のあった仮想ホストがICSネットワーク4から消滅する。そして、同じアドレスで第2端末2が第1のネットワークに接続される。 In this way, when any of the plurality of virtual hosts has a communication that is a sign of malware transmission, the virtual host with the communication disappears from the ICS network 4. Then, the second terminal 2 is connected to the first network at the same address.

これにより、複数の仮想ホストでマルウェアをおびきよせて、おびきよせた仮想ホストを第2端末2に置き換えることで、より高い確率でマルウェアを捕獲できる。また、攻撃者には、マルウェアを送り込むのに成功したと誤解させることができる。 As a result, the malware can be attracted by a plurality of virtual hosts, and the malware can be captured with a higher probability by replacing the attracted virtual host with the second terminal 2. It can also mislead an attacker into thinking that they have succeeded in delivering malware.

また、捕獲部22は、マルウェアを捕獲すると、続いてステップ720で、捕獲したことを接続制御部21に通知する。接続制御部21は、この通知を受けると、ステップ540で、第2端末2をICSネットワーク4を介して通信不可能な状態にする。接続制御部21は続いてステップ550で、第2端末2がマルウェアを捕獲した旨を、プライベートネットワーク5を介して、第1端末1のホスト切替部12に通知する。 Further, when the capture unit 22 captures the malware, the connection control unit 21 is notified in step 720 that the malware has been captured. Upon receiving this notification, the connection control unit 21 makes the second terminal 2 unable to communicate via the ICS network 4 in step 540. Subsequently, in step 550, the connection control unit 21 notifies the host switching unit 12 of the first terminal 1 that the second terminal 2 has captured the malware via the private network 5.

この通知を受信したホスト切替部12は、ステップ240で、現在の仮想ホストのコンフィグレーションに対し、ステップ220で削除した攻撃対象の仮想ホストの情報を追加する。続いてホスト切替部12は、ステップ250で、HE部11を再起動する。するとHE部11は、ステップ160で再起動する。 Upon receiving this notification, the host switching unit 12 adds the information of the attack target virtual host deleted in step 220 to the current virtual host configuration in step 240. Subsequently, the host switching unit 12 restarts the HE unit 11 in step 250. Then, the HE unit 11 is restarted in step 160.

これにより、現在の複数の仮想ホストがICSネットワーク4から一旦消滅した後、攻撃対象の仮想ホストRがICSネットワーク4上に復活した状態で、それまでの複数の仮想ホストP、Q、S、Tが再度生成される。その結果、仮想ホストの構成が、図9の状態に戻る。 As a result, after the current plurality of virtual hosts have once disappeared from the ICS network 4, the attack target virtual host R has been revived on the ICS network 4, and the plurality of virtual hosts P, Q, S, T up to that point have been restored. Is generated again. As a result, the virtual host configuration returns to the state shown in FIG.

このように、第2端末2についてはマルウェアを捕獲したタイミングでICSネットワーク4から消去し、攻撃対象の仮想ホストを復活させることで、捕獲部22の存在を攻撃者に知られる可能性を低減することができる。したがって、より確実に攻撃者を欺瞞した状態で攻撃者をコントロールすることができる。 In this way, the second terminal 2 is erased from the ICS network 4 at the timing when the malware is captured, and the virtual host to be attacked is revived, thereby reducing the possibility that the existence of the capture unit 22 is known to the attacker. be able to. Therefore, it is possible to control the attacker more reliably while deceiving the attacker.

(第2実施形態)
次に、第2実施形態について説明する。本実施形態に係る通信システムは、図12に示すように、ルータ7、フロントエンドネットワーク4A、攻撃対応装置8、ICSネットワーク4、通信モジュール3、クラウド6を有する早期警戒システムである。攻撃対応装置8は、通信端末に対応する。通信モジュール3、クラウド6は、第1実施形態と同等の機能を有する。 (Second Embodiment)
Next, the second embodiment will be described. As shown in FIG. 12, the communication system according to the present embodiment is an early warning system having a router 7, a front-end network 4A, an attack response device 8, an ICS network 4, a communication module 3, and a cloud 6. The attack response device 8 corresponds to a communication terminal. The communication module 3 and the cloud 6 have the same functions as those in the first embodiment.

ルータ7は、外部のネットワーク4Xとフロントエンドネットワーク4Aとの間でデータを中継するゲートウェイとして機能する。外部のネットワーク4Xは、例えば、社内LANであってもよいし、インターネット等の広域ネットワークであってもよい。 The router 7 functions as a gateway for relaying data between the external network 4X and the front-end network 4A. The external network 4X may be, for example, an in-house LAN or a wide area network such as the Internet.

フロントエンドネットワーク4Aは、ルータ7と攻撃対応装置8が属するTCP/IPネットワークである。 The front-end network 4A is a TCP / IP network to which the router 7 and the attack response device 8 belong.

攻撃対応装置8は、第1実施形態における第1端末1、第2端末2の機能等を実現することで、ICSネットワーク4への攻撃に対応するための装置であり、フロントエンドネットワーク4AおよびICSネットワーク4に属している。 The attack response device 8 is a device for responding to an attack on the ICS network 4 by realizing the functions of the first terminal 1 and the second terminal 2 in the first embodiment, and is a device for responding to an attack on the ICS network 4, and is a front-end network 4A and an ICS. It belongs to network 4.

ICSネットワーク4は、第1実施形態と同様、産業系制御システムに属する複数の保護対象の機器41〜44が通信のために接続するTCP/IPネットワークであり、例えば、工場に設置される。 Similar to the first embodiment, the ICS network 4 is a TCP / IP network to which a plurality of protected devices 41 to 44 belonging to the industrial control system are connected for communication, and is installed in a factory, for example.

保護対象の複数の機器としては、制御機器、監視装置等がある。制御機器は、工場内の産業ロボット等を制御する装置である。監視装置は、工場内の産業ロボット等の状態を取得して外部ネットワーク4Xに送信する装置である。例えば、制御機器としては、PLC(Programmable Logic Controller)、DCS(Distributed Control System)が用いられてもよい。監視装置としては、RTU(Remote Terminal Unit)が用いられてもよい。以下では、これらの機器41〜44を保護対象機器という。 The plurality of devices to be protected include control devices, monitoring devices, and the like. The control device is a device that controls an industrial robot or the like in a factory. The monitoring device is a device that acquires the state of an industrial robot or the like in the factory and transmits it to the external network 4X. For example, as a control device, a PLC (Programmable Logic Controller) or a DCS (Distributed Control System) may be used. As the monitoring device, an RTU (Remote Terminal Unit) may be used. Hereinafter, these devices 41 to 44 will be referred to as protected devices.

本実施形態では、ICSネットワーク4は、第1のネットワークに該当せず、保護ネットワークに該当する。また、本実施形態では、第1端末1、第2端末2は、単体のハードウェアとして存在せず、ICSネットワーク4に属さない。 In the present embodiment, the ICS network 4 does not correspond to the first network, but corresponds to the protection network. Further, in the present embodiment, the first terminal 1 and the second terminal 2 do not exist as single hardware and do not belong to the ICS network 4.

ここで、攻撃対応装置8の構成について説明する。図12に示すように、攻撃対応装置8は、ネットワークインターフェース81、メモリ82、CPU83を備えている。ネットワークインターフェース81、メモリ82、CPU83は、いずれも実体のあるハードウェアである。 Here, the configuration of the attack response device 8 will be described. As shown in FIG. 12, the attack response device 8 includes a network interface 81, a memory 82, and a CPU 83. The network interface 81, the memory 82, and the CPU 83 are all substantial hardware.

ネットワークインターフェース81は、フロントエンドネットワーク4AおよびICSネットワーク4に直接接続する。ネットワークインターフェース81は、フロントエンドネットワーク4AおよびICSネットワーク4を介してデータの送信および受信を行う。メモリ82は、RAM、ROM、フラッシュメモリ等の記憶媒体である。CPU83は、メモリ82に記録されたプログラムを実行することで、種々の機能を実行する。 The network interface 81 connects directly to the front-end network 4A and the ICS network 4. The network interface 81 transmits and receives data via the front-end network 4A and the ICS network 4. The memory 82 is a storage medium such as a RAM, a ROM, or a flash memory. The CPU 83 executes various functions by executing the program recorded in the memory 82.

図13に、攻撃対応装置8の機能構成を示す。CPU83は、図13に示すように、第1端末1、第2端末2、判断部9、シャドウネットワーク4Bの機能をソフトウェアで仮想的に実現する。ハードウェアをソフトウェアで仮想的に実現する技術は周知であるので、ここでは説明を省略する。以下では、第1端末1、第2端末2、判断部9、シャドウネットワーク4Bを、それぞれ単体のハードウェアとして説明する。しかし、既に説明したとおり、これらは、CPU83によってソフトウェアで仮想的にそれらハードウェアが実現される。 FIG. 13 shows the functional configuration of the attack response device 8. As shown in FIG. 13, the CPU 83 virtually realizes the functions of the first terminal 1, the second terminal 2, the determination unit 9, and the shadow network 4B by software. Since the technology for virtually realizing hardware by software is well known, the description thereof is omitted here. Hereinafter, the first terminal 1, the second terminal 2, the determination unit 9, and the shadow network 4B will be described as individual hardware. However, as already described, these hardware are virtually realized by software by the CPU 83.

シャドウネットワーク4Bは、TCP/IPネットワークである。ICSネットワーク4は、フロントエンドネットワーク4AともICSネットワーク4とも別に設けられている。 The shadow network 4B is a TCP / IP network. The ICS network 4 is provided separately from the front-end network 4A and the ICS network 4.

第1端末1および第2端末2は、シャドウネットワーク4Bに属するがフロントエンドネットワーク4A、ICSネットワーク4には属さない。判断部9は、フロントエンドネットワーク4Aとシャドウネットワーク4BとICSネットワーク4に属する。シャドウネットワーク4Bは、第1のネットワークに該当する。 The first terminal 1 and the second terminal 2 belong to the shadow network 4B, but do not belong to the front-end network 4A and the ICS network 4. The determination unit 9 belongs to the front-end network 4A, the shadow network 4B, and the ICS network 4. The shadow network 4B corresponds to the first network.

ローカルエリアネットワークとしてのシャドウネットワーク4Bのネットワークアドレスは、ICSネットワーク4のネットワークアドレスと同じである。すなわち、シャドウネットワーク4Bに属する第1端末1、第2端末2のIPアドレスのネットワーク部の値と、ICSネットワーク4に属する保護対象機器41〜44のIPアドレスのネットワーク部の値は、同じである。 The network address of the shadow network 4B as the local area network is the same as the network address of the ICS network 4. That is, the value of the network portion of the IP address of the first terminal 1 and the second terminal 2 belonging to the shadow network 4B and the value of the network portion of the IP address of the protected devices 41 to 44 belonging to the ICS network 4 are the same. ..

また、判断部9のシャドウネットワーク4B側のIPアドレスのネットワーク部の値も、第1端末1、第2端末2のIPアドレスのネットワーク部の値と同じである。また、判断部9のICSネットワーク4側のIPアドレスのネットワーク部の値も、第1端末1、第2端末2のIPアドレスのネットワーク部の値と同じである。 Further, the value of the network portion of the IP address on the shadow network 4B side of the determination unit 9 is also the same as the value of the network portion of the IP address of the first terminal 1 and the second terminal 2. Further, the value of the network portion of the IP address on the ICS network 4 side of the determination unit 9 is also the same as the value of the network portion of the IP address of the first terminal 1 and the second terminal 2.

また、第1端末1のIPアドレス、第2端末2のIPアドレス、判断部9のシャドウネットワーク4B側のIPアドレス、判断部9のICSネットワーク4側のIPアドレス、ICSネットワーク4に属する判断部9以外のすべての装置のIPアドレスは、すべて互いに異なる。いうまでもないが、図13に表れるすべての通信装置のMACアドレスは、互いに異なる。 Further, the IP address of the first terminal 1, the IP address of the second terminal 2, the IP address of the shadow network 4B side of the determination unit 9, the IP address of the ICS network 4 side of the determination unit 9, and the determination unit 9 belonging to the ICS network 4. The IP addresses of all devices except are different from each other. Needless to say, the MAC addresses of all the communication devices shown in FIG. 13 are different from each other.

第1端末1は、第1実施形態と同様、ログメモリ10、HE部11、ホスト再構成部13、外部通信部14を有するが、ホスト切替部12を有さない。ログメモリ10、HE部11、ホスト再構成部13、外部通信部14の機能は、第1実施形態と同じである。 Similar to the first embodiment, the first terminal 1 has a log memory 10, an HE unit 11, a host reconstruction unit 13, and an external communication unit 14, but does not have a host switching unit 12. The functions of the log memory 10, the HE unit 11, the host reconstruction unit 13, and the external communication unit 14 are the same as those in the first embodiment.

第2端末2は、第1実施形態と同じ機能の捕獲部22を有するが、接続制御部21を有さない。第2端末2が所定のホストに該当する。第1実施形態において第1端末1と第2端末2とを繋いでいたプライベートネットワーク5は、本実施形態では廃されている。また、第2端末2のIPアドレスは固定である。 The second terminal 2 has a capture unit 22 having the same function as that of the first embodiment, but does not have a connection control unit 21. The second terminal 2 corresponds to a predetermined host. The private network 5 connecting the first terminal 1 and the second terminal 2 in the first embodiment is abolished in the present embodiment. Further, the IP address of the second terminal 2 is fixed.

判断部9は、ネットワークインターフェース、マイコン等のハードウェアを有する。ルータ7から送られたパケットをシャドウネットワーク4BおよびICSネットワーク4のうちどちらかへ転送する。また、判断部9は、シャドウネットワーク4BおよびICSネットワーク4から送られたパケットをフロントエンドネットワーク4Aに転送する。これら転送の際、判断部9は、必要に応じて、パケットの内容を書き換える。なお、本実施形態では、パケットはイーサネットフレームである。 The determination unit 9 has hardware such as a network interface and a microcomputer. The packet sent from the router 7 is forwarded to either the shadow network 4B or the ICS network 4. Further, the determination unit 9 forwards the packets sent from the shadow network 4B and the ICS network 4 to the front-end network 4A. At the time of these transfers, the determination unit 9 rewrites the contents of the packet as necessary. In this embodiment, the packet is an Ethernet frame.

通常、どのパケットにも、宛先MACアドレス、送信元MACアドレス、宛先IPアドレス、送信元IPアドレス、プロトコル、送信元ポート番号、および宛先ポート番号が含まれている。宛先MACアドレスおよび送信元MACアドレスは、イーサネットフレームのヘッダ部に含まれる。宛先IPアドレス、送信元IPアドレス、プロトコルは、IPデータグラムのヘッダ部に含まれる。送信元ポート番号および宛先ポート番号は、UDPユーザデータグラムのヘッダ部またはTCPセグメントのヘッダ部に含まれる。 Typically, every packet contains a destination MAC address, a source MAC address, a destination IP address, a source IP address, a protocol, a source port number, and a destination port number. The destination MAC address and the source MAC address are included in the header part of the Ethernet frame. The destination IP address, source IP address, and protocol are included in the header part of the IP datagram. The source port number and the destination port number are included in the header part of the UDP user datagram or the header part of the TCP segment.

判断部9は、このような転送を実現するために、ホワイトリスト91をメモリに記憶している。このホワイトリスト91は、ICSネットワーク4状の保護対象機器41〜44との通信を許可する条件(以下、通信許可条件という)が記述されたデータである。 The determination unit 9 stores the white list 91 in the memory in order to realize such a transfer. The white list 91 is data in which conditions for permitting communication with protected devices 41 to 44 of the ICS network 4 (hereinafter referred to as communication permit conditions) are described.

より具体的には、ホワイトリスト91は、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコルのうち1つまたは複数のパラメータから成るレコードが、複数個記録されている。 More specifically, in the white list 91, a plurality of records including one or a plurality of parameters of a source IP address, a destination IP address, a source port number, a destination port number, and a protocol are recorded.

複数のレコードのうちいずれか1つのレコードに含まれる全パラメータの値と、あるパケット中の当該パラメータの値とが、一致する場合、当該パケットは、通信許可条件を満たすパケットである。すべてのレコードの各々について、当該レコードに含まれる全パラメータの値と、あるパケット中の当該パラメータの値とが、完全には一致しない場合、当該パケットは、通信許可条件を満たさないパケットである。 When the values of all the parameters included in any one of the plurality of records and the values of the parameters in a certain packet match, the packet is a packet satisfying the communication permission condition. For each of all the records, if the values of all the parameters contained in the record and the values of the parameters in a packet do not completely match, the packet is a packet that does not satisfy the communication permission condition.

例えば、あるレコードには、送信元IPアドレスとして特定のOPCサーバまたは特定のSCADA(Supervisory Control And Data Acquisition)のIPアドレスのみが含まれている場合がある。そのような場合、当該OPCサーバまたはSCADAから送信されたパケットは、すべて通信許可条件を満たす。ここで、当該SCADAおよび当該OPCサーバは、本実施形態に係る通信システムと同じ会社によって所有される装置であってもよいし、そうでなくてもよい。 For example, a record may contain only the IP address of a specific OPC server or a specific SCADA (Supervision Control And Data Acquisition) as a source IP address. In such a case, all packets transmitted from the OPC server or SCADA satisfy the communication permission condition. Here, the SCADA and the OPC server may or may not be devices owned by the same company as the communication system according to the present embodiment.

当該SCADAおよび当該OPCサーバは、いずれも、保護対象機器41〜44と通信することで、保護対象機器41〜44の作動状態の情報の取得および表示、保護対象機器41〜44の制御等を行う装置である。 Both the SCADA and the OPC server communicate with the protected devices 41 to 44 to acquire and display the operating status information of the protected devices 41 to 44, control the protected devices 41 to 44, and the like. It is a device.

また例えば、あるレコードには、送信元IPアドレスとして特定のOPCサーバのIPアドレスと、宛先IPアドレスとして保護対象機器41〜44のうち特定の1つの保護対象機器のIPアドレスのみが含まれている場合がある。そのような場合、当該OPCサーバから送信された当該1つの保護対象機器宛のパケットは、すべて通信許可条件を満たす。 Further, for example, a certain record includes only the IP address of a specific OPC server as the source IP address and the IP address of one specific protected device among the protected devices 41 to 44 as the destination IP address. In some cases. In such a case, all the packets sent from the OPC server to the one protected device satisfy the communication permission condition.

また例えば、あるレコードには、送信元IPアドレスとして特定のOPCサーバのIPアドレスと、宛先IPアドレスとして当該1つの保護対象機器のIPアドレスと、プロトコルとしてTCPのみが含まれている場合がある。そのような場合、当該OPCサーバから送信された当該1つの保護対象機器宛のパケットのうち、TCPのプロトコルに従うパケットは、すべて通信許可条件を満たす。 Further, for example, a certain record may include only the IP address of a specific OPC server as the source IP address, the IP address of the one protected device as the destination IP address, and TCP as the protocol. In such a case, among the packets sent from the OPC server to the one protected device, all the packets according to the TCP protocol satisfy the communication permission condition.

以下、このような構成の通信システムの作動について説明する。まず、判断部9によるパケットの配送の作動について説明する。判断部9は、ホワイトリスト91に基づいてパケットの配送を行う。 Hereinafter, the operation of the communication system having such a configuration will be described. First, the operation of packet delivery by the determination unit 9 will be described. The determination unit 9 delivers the packet based on the white list 91.

図14に、判断部9が実行する下り転送処理のフローチャートを示す。判断部9は、この下り転送処理を常に実行している。そして、判断部9は、まずステップ805で、ルータ7からフロントエンドネットワーク4Aに送信されたパケットを受信するまで待機する。 FIG. 14 shows a flowchart of the downlink transfer process executed by the determination unit 9. The determination unit 9 is constantly executing this downlink transfer process. Then, the determination unit 9 first waits in step 805 until it receives the packet transmitted from the router 7 to the front-end network 4A.

なお、判断部9は、ステップ805では、ルータ7からフロントエンドネットワーク4Aに送信されたすべてのパケットを受信する。したがって、判断部9は、ルータ7からフロントエンドネットワーク4Aに送信されたパケットの宛先MACアドレスが、どのような値であっても、当該パケットを受信する。 In step 805, the determination unit 9 receives all the packets transmitted from the router 7 to the front-end network 4A. Therefore, the determination unit 9 receives the packet regardless of the value of the destination MAC address of the packet transmitted from the router 7 to the front-end network 4A.

フロントエンドネットワーク4Aに送信された1つのパケットを受信すると、判断部9は、ステップ805でそのパケットを受信した後、ステップ810に進み、受信したパケットの内容とホワイトリスト91とを比較する。続いて判断部9は、ステップ815で、ステップ810の比較結果に基づいて、当該パケットが異常なパケットであるか否か判定する。 Upon receiving one packet transmitted to the front-end network 4A, the determination unit 9 receives the packet in step 805 and then proceeds to step 810 to compare the contents of the received packet with the white list 91. Subsequently, in step 815, the determination unit 9 determines whether or not the packet is an abnormal packet based on the comparison result of step 810.

ホワイトリスト91に記述された通信許可条件を当該パケットが満たす場合、判断部9は当該パケットが異常なパケットでないと判定する。また、ホワイトリスト91に記述された通信許可条件を当該パケットが満たさない場合、判断部9は当該パケットが異常なパケットであると判定する。 When the packet satisfies the communication permission condition described in the white list 91, the determination unit 9 determines that the packet is not an abnormal packet. Further, when the packet does not satisfy the communication permission condition described in the white list 91, the determination unit 9 determines that the packet is an abnormal packet.

通信許可条件を満たすパケットは、ICSネットワーク4に属する保護対象機器41〜44を宛先とするパケットである。通信許可条件を満たす正規なパケットは、保護対象機器41〜44を制御したり、保護対象機器41〜44から情報を取得したりする目的で生成されるからである。 The packet satisfying the communication permission condition is a packet destined for the protected devices 41 to 44 belonging to the ICS network 4. This is because a legitimate packet satisfying the communication permission condition is generated for the purpose of controlling the protected devices 41 to 44 and acquiring information from the protected devices 41 to 44.

したがって、判断部9は、受信したパケットが異常なパケットでないとステップ815で判定した場合は、ステップ820に進み、当該パケットの内容を変えずそのままICSネットワーク4に転送すると共に、当該パケットをシャドウネットワーク4Bに転送しない。ステップ820の後、判断部9はステップ805に戻る。 Therefore, if the determination unit 9 determines in step 815 that the received packet is not an abnormal packet, the determination unit 9 proceeds to step 820, transfers the packet to the ICS network 4 as it is without changing the content of the packet, and transfers the packet to the shadow network. Do not transfer to 4B. After step 820, the determination unit 9 returns to step 805.

このようにしてICSネットワーク4に転送されたパケットは、当該パケット中の宛先MACアドレスと同じMACアドレスを有する保護対象機器で受信される。このようにして受信されたパケットを以下では受信パケットという。 The packet transferred to the ICS network 4 in this way is received by the protected device having the same MAC address as the destination MAC address in the packet. The packet received in this way is hereinafter referred to as a received packet.

当該保護対象機器は、受信パケットを受信したことに基づいて、返送用パケットを作成する。この返送用パケットには、宛先IPアドレスとして、当該受信パケットの送信元IPアドレス(例えば、OPCサーバのIPアドレス)が含まれる。またこの返送用パケットには、送信元IPアドレスとして、当該保護対象機器のIPアドレスが含まれる。またこの返送用パケットには、宛先MACアドレスとして、ルータ7のMACアドレスが含まれる。またこの返送用パケットには、送信元MACアドレスとして、当該保護対象機器のMACアドレスが含まれる。また当該保護対象機器は、上述のように作成した返送用パケットを、ICSネットワーク4に送信する。 The protected device creates a return packet based on the received packet. The return packet includes the source IP address of the received packet (for example, the IP address of the OPC server) as the destination IP address. Further, the return packet includes the IP address of the protected device as the source IP address. Further, the return packet includes the MAC address of the router 7 as the destination MAC address. Further, the return packet includes the MAC address of the protected device as the source MAC address. Further, the protected device transmits the return packet created as described above to the ICS network 4.

判断部9は、下り転送処理と同時並行で、図15に示す上り転送処理を常時実行している。判断部9は、上り転送処理において、まずステップ910で、ICSネットワーク4からパケットを受信したか否かを判定する。 The determination unit 9 constantly executes the uplink transfer process shown in FIG. 15 in parallel with the downlink transfer process. In the uplink transfer process, the determination unit 9 first determines in step 910 whether or not a packet has been received from the ICS network 4.

判断部9は、ICSネットワーク4に送信されたパケットのうち、宛先MACアドレスがルータ7のMACアドレスを対象としているすべてのパケットを、受信し、それ以外は受信しない。 The determination unit 9 receives all the packets transmitted to the ICS network 4 whose destination MAC address is the MAC address of the router 7, and does not receive any other packets.

なお、宛先MACアドレスがルータ7のMACアドレスと同じパケットは、宛先MACアドレスがルータ7のMACアドレスを対象としているパケットである。宛先MACアドレスがルータ7のMACアドレスを含むマルチキャストアドレスであるパケットも、宛先MACアドレスがルータ7のMACアドレスを対象としているパケットである。宛先MACアドレスがブロードキャストアドレスであるパケットも、宛先MACアドレスがルータ7のMACアドレスを対象としているパケットである。 A packet having the same destination MAC address as the MAC address of the router 7 is a packet whose destination MAC address targets the MAC address of the router 7. A packet whose destination MAC address is a multicast address including the MAC address of the router 7 is also a packet whose destination MAC address targets the MAC address of the router 7. A packet whose destination MAC address is a broadcast address is also a packet whose destination MAC address is the MAC address of the router 7.

判断部9は、ステップ910でICSネットワーク4からパケットを受信していないと判定した場合、ステップ920に進み、シャドウネットワーク4Bからパケットを受信したか否かを判定する。 If the determination unit 9 determines in step 910 that the packet has not been received from the ICS network 4, the determination unit 9 proceeds to step 920 and determines whether or not the packet has been received from the shadow network 4B.

判断部9は、シャドウネットワーク4Bに送信されたパケットのうち、宛先MACアドレスがルータ7のMACアドレスを対象としているすべてのパケットを、受信し、それ以外は受信しない。 The determination unit 9 receives all the packets transmitted to the shadow network 4B whose destination MAC address is the MAC address of the router 7, and does not receive any other packets.

判断部9は、ステップ920でシャドウネットワーク4Bからパケットを受信していないと判定した場合、ステップ910に戻る。このように、判断部9は、ICSネットワーク4からパケットを受信するか、シャドウネットワーク4Bからパケットを受信するまで、ステップ910、920の判定を繰り返す。 If the determination unit 9 determines in step 920 that the packet has not been received from the shadow network 4B, the determination unit 9 returns to step 910. In this way, the determination unit 9 repeats the determinations of steps 910 and 920 until the packet is received from the ICS network 4 or the packet is received from the shadow network 4B.

そして判断部9は、ステップ910、920の繰り返しの間に、上述のように、ICSネットワーク4の保護対象機器からルータ7宛に送信された返送用パケットを受信したとする。すると判断部9は、ステップ910で、ICSネットワーク4から返送用パケットを受信したと判定し、ステップ930に進む。 Then, it is assumed that the determination unit 9 receives the return packet transmitted from the protected device of the ICS network 4 to the router 7 during the repetition of steps 910 and 920 as described above. Then, the determination unit 9 determines in step 910 that the return packet has been received from the ICS network 4, and proceeds to step 930.

判断部9は、ステップ930では、受信した上記返送用パケットの内容を変えずそのままフロントエンドネットワーク4Aを介してルータ7に転送する。これにより、当該パケットは、ルータ7から上記受信パケットの送信元(例えばOPCサーバ)に送信される。判断部9は、ステップ930の後、ステップ910に戻る。 In step 930, the determination unit 9 transfers the received return packet to the router 7 as it is via the front-end network 4A without changing the content of the return packet. As a result, the packet is transmitted from the router 7 to the source of the received packet (for example, an OPC server). The determination unit 9 returns to step 910 after step 930.

また、図14の下り転送処理のステップ815において、判断部9は、当該パケットが異常なパケットであると判定すると、ステップ825に進む。このようにステップ325に進む場合は、ホワイトリスト91に記述された通信許可条件を当該パケットが満たさない場合である。 Further, in step 815 of the downlink transfer process of FIG. 14, when the determination unit 9 determines that the packet is an abnormal packet, the determination unit 9 proceeds to step 825. The case of proceeding to step 325 in this way is a case where the packet does not satisfy the communication permission condition described in the white list 91.

通信許可条件を満たさないパケットは、ポートスキャン、マルウェア送信等のための、すなわち、ICSネットワーク4内の保護対象機器41〜44を攻撃するための、パケットである可能性が高い。 Packets that do not satisfy the communication permission conditions are likely to be packets for port scanning, malware transmission, etc., that is, for attacking protected devices 41 to 44 in the ICS network 4.

このようなパケットについては、ICSネットワーク4に転送することは危険である。したがって、第1端末1のHE部11が攻撃者を欺瞞するために複数の仮想ホストを生成しているシャドウネットワーク4Bに、当該パケットを転送することが好ましい。 It is dangerous to forward such packets to the ICS network 4. Therefore, it is preferable that the HE unit 11 of the first terminal 1 transfers the packet to the shadow network 4B that generates a plurality of virtual hosts in order to deceive the attacker.

ステップ825では、当該パケットの宛先がICSネットワーク4内であるか否かを判定する。ICSネットワーク4に属する保護対象機器41〜44のうちどれか1つのIPアドレスに、当該パケットに含まれる宛先IPアドレスが一致していれば、当該パケットの宛先はICSネットワーク4内である。当該パケットに含まれる宛先IPアドレスが、ICSネットワーク4に属する保護対象機器41〜44のうちどの保護対象機器のIPアドレスにも、一致していなければ、当該パケットの宛先はICSネットワーク4内でない。 In step 825, it is determined whether or not the destination of the packet is within the ICS network 4. If the destination IP address included in the packet matches the IP address of any one of the protected devices 41 to 44 belonging to the ICS network 4, the destination of the packet is in the ICS network 4. If the destination IP address included in the packet does not match the IP address of any of the protected devices 41 to 44 belonging to the ICS network 4, the destination of the packet is not in the ICS network 4.

なお、ICSネットワーク4に属する保護対象機器41〜44が自機のIPアドレスとして使用するIPアドレス範囲と、シャドウネットワーク4Bに属するホスト(すなわち、第1端末1、第2端末2、仮想ホスト)が自機のIPアドレスとして使用するIPアドレス範囲とは、重なっていない。つまりICSネットワーク4中のどの保護対象機器41〜44のIPアドレスも、シャドウネットワーク4B中のすべてのホストのIPアドレスと異なる。また、判断部9は、ICSネットワーク4に属するすべての保護対象機器41〜44のIPアドレスの情報をあらかじめ記憶している。 The IP address range used by the protected devices 41 to 44 belonging to the ICS network 4 as their own IP address and the hosts belonging to the shadow network 4B (that is, the first terminal 1, the second terminal 2, and the virtual host) are It does not overlap with the IP address range used as the IP address of the own machine. That is, the IP addresses of all the protected devices 41 to 44 in the ICS network 4 are different from the IP addresses of all the hosts in the shadow network 4B. Further, the determination unit 9 stores in advance the IP address information of all the protected devices 41 to 44 belonging to the ICS network 4.

当該パケットの宛先がICSネットワーク4内でない場合、当該パケットを送信した攻撃者側の通信装置は、攻撃対象を選定している段階か、あるいは攻撃対象を誤っている。前者なら、当該パケットはポートスキャンのためのパケットである可能性が高い。後者なら、当該パケットはマルウェアを送るためのパケットである可能性が高い。 If the destination of the packet is not within the ICS network 4, the attacker's communication device that transmitted the packet is at the stage of selecting the attack target, or the attack target is erroneous. In the former case, the packet is likely to be a packet for port scanning. In the latter case, the packet is likely to be a packet for sending malware.

このような場合は、判断部9は、ステップ830に進み、当該パケットの内容を変えずそのままシャドウネットワーク4Bに転送する。これにより、当該パケット中の宛先IPアドレスを有する仮想ホストがシャドウネットワーク4B中にあれば、当該パケットを当該仮想ホストが受信する。また、当該パケット中の宛先IPアドレスを有するホストがシャドウネットワーク4B中になければ、当該パケットはどのホストにも受信されない。 In such a case, the determination unit 9 proceeds to step 830 and forwards the packet to the shadow network 4B as it is without changing the content of the packet. As a result, if the virtual host having the destination IP address in the packet is in the shadow network 4B, the virtual host receives the packet. Further, if the host having the destination IP address in the packet is not in the shadow network 4B, the packet is not received by any host.

当該パケットを仮想ホストが受信すると、第1端末1は、第1実施形態の図2のステップ105、110、115、120、125、130、135、140、310、320、410、420に示した作動を行う。この際、第1端末1のHE部11は、図2のステップ115にて、当該パケット(以下、受信パケットという)に対する応答(例えば、SYN+ACKパケット)のためのパケット(以下、応答パケットという)をシャドウネットワーク4Bに送信する。 When the virtual host receives the packet, the first terminal 1 shows steps 105, 110, 115, 120, 125, 130, 135, 140, 310, 320, 410, 420 of FIG. 2 of the first embodiment. Operate. At this time, the HE unit 11 of the first terminal 1 sets a packet (hereinafter referred to as a response packet) for a response (for example, SYN + ACK packet) to the packet (hereinafter referred to as a received packet) in step 115 of FIG. Send to shadow network 4B.

この応答パケットには、宛先IPアドレスとして、受信パケット中の送信元IPアドレスが含まれる。また、この応答パケットには、送信元IPアドレスとして、当該仮想ホストのIPアドレスが含まれる。また、この応答パケットには、宛先MACアドレスとして、ルータ7のMACアドレスが含まれる。また、この応答パケットには、送信元MACアドレスとして、当該仮想ホストのMACアドレスが含まれる。 The response packet includes the source IP address in the received packet as the destination IP address. Further, the response packet includes the IP address of the virtual host as the source IP address. Further, this response packet includes the MAC address of the router 7 as the destination MAC address. Further, this response packet includes the MAC address of the virtual host as the source MAC address.

判断部9は、上り転送処理のステップ910、920の繰り返し中に、この応答パケットがシャドウネットワーク4Bに送信されると、当該応答パケットを受信し、ステップ920で、シャドウネットワーク4Bからパケットを受信したと判定し、ステップ940に進む。 When the response packet is transmitted to the shadow network 4B during the repetition of steps 910 and 920 of the uplink transfer process, the determination unit 9 receives the response packet, and in step 920, receives the packet from the shadow network 4B. Is determined, and the process proceeds to step 940.

判断部9は、ステップ940で、受信した応答パケットの送信元が第2端末2であるか否かを判定する。具体的には、受信した応答パケットの送信元IPアドレスが第2端末2のIPアドレスであるか否かを判定する。あるいは、受信した応答パケットの送信元MACアドレスが第2端末2のMACアドレスであるか否かを判定してもよい。判断部9は、第2端末2のIPアドレスの情報および第2端末2のMACアドレスの情報をあらかじめ記憶している。 In step 940, the determination unit 9 determines whether or not the source of the received response packet is the second terminal 2. Specifically, it is determined whether or not the source IP address of the received response packet is the IP address of the second terminal 2. Alternatively, it may be determined whether or not the source MAC address of the received response packet is the MAC address of the second terminal 2. The determination unit 9 stores the IP address information of the second terminal 2 and the MAC address information of the second terminal 2 in advance.

この応答パケットの送信元は、上述の通り仮想ホストであるので、第2端末2でない。したがって、判断部9は、受信した応答パケットの送信元が第2端末2でないと判定してステップ950に進む。 Since the source of this response packet is the virtual host as described above, it is not the second terminal 2. Therefore, the determination unit 9 determines that the source of the received response packet is not the second terminal 2, and proceeds to step 950.

ステップ950では、判断部9は、受信した上記応答パケットの内容を変えずそのままフロントエンドネットワーク4Aを介してルータ7に転送する。これにより、当該パケットは、ルータ7から上記受信パケットの送信元に、すなわち、攻撃者側の通信装置に、送信される。判断部9は、ステップ950の後、ステップ910に戻る。 In step 950, the determination unit 9 forwards the received response packet to the router 7 as it is via the front-end network 4A without changing the content. As a result, the packet is transmitted from the router 7 to the source of the received packet, that is, to the communication device on the attacker side. The determination unit 9 returns to step 910 after step 950.

このように、攻撃対象を選定している段階にあるか、あるいは攻撃対象を誤っている攻撃者の通信装置から、ICSネットワーク4内でない宛先のパケットを受信した場合に、判断部9は、当該パケットをシャドウネットワーク4Bに送信する。これにより、第1実施形態と同様に、仮想ホストの再構成により、攻撃者を欺瞞できる。 In this way, when a packet of a destination not within the ICS network 4 is received from the communication device of the attacker who is in the stage of selecting the attack target or has the wrong attack target, the determination unit 9 concerned. The packet is sent to the shadow network 4B. As a result, as in the first embodiment, the attacker can be deceived by reconfiguring the virtual host.

また、判断部9は、ステップ825で、当該パケットの宛先がICSネットワーク4内であると判定した場合、ステップ835に進む。攻撃者の通信装置からのパケットの宛先がICSネットワーク4内の機器である場合、当該パケットを当該機器に受信させることは危険である。 If the determination unit 9 determines in step 825 that the destination of the packet is within the ICS network 4, the determination unit 9 proceeds to step 835. When the destination of the packet from the attacker's communication device is a device in the ICS network 4, it is dangerous to have the device receive the packet.

判断部9は、ステップ835で、当該パケットの宛先IPアドレスの内容を、ICSネットワーク4内の当該機器のIPアドレスから、第2端末2のIPアドレスに、書き換える。 In step 835, the determination unit 9 rewrites the content of the destination IP address of the packet from the IP address of the device in the ICS network 4 to the IP address of the second terminal 2.

続いて判断部9は、ステップ840で、当該パケットの宛先MACアドレスの内容を、ICSネットワーク4内の当該機器のMACアドレスから、第2端末2のMACアドレスに、書き換える。 Subsequently, in step 840, the determination unit 9 rewrites the content of the destination MAC address of the packet from the MAC address of the device in the ICS network 4 to the MAC address of the second terminal 2.

続いてステップ845では、ステップ835、840で書き換えられた当該パケットをシャドウネットワーク4Bに転送する。このようにしてシャドウネットワーク4Bに転送された当該パケットは、第2端末2によって受信される。当該パケットの宛先MACアドレスが第2端末2のMACアドレスだからである。なお、ステップ835で宛先IPアドレスを第2端末2のIPアドレスに変更するのは、第2端末2が実行する処理において、当該パケット中の宛先IPアドレスに基づいて、当該パケットが自機宛か否か判定される場合があるからである。 Subsequently, in step 845, the packet rewritten in steps 835 and 840 is transferred to the shadow network 4B. The packet transferred to the shadow network 4B in this way is received by the second terminal 2. This is because the destination MAC address of the packet is the MAC address of the second terminal 2. The reason why the destination IP address is changed to the IP address of the second terminal 2 in step 835 is whether the packet is addressed to the own device based on the destination IP address in the packet in the process executed by the second terminal 2. This is because it may be determined whether or not it is.

判断部9は、ステップ845に続いて、ステップ850で、書き換えられる前の宛先IPアドレスと書き換えられる前の宛先MACアドレスとの組を、元宛先情報として記憶する。書き換えられる前の宛先IPアドレスは、当該パケットが書き換えられる前における当該パケットの宛先IPアドレス、すなわち、当該パケットを判断部9が受信した時点の当該パケットの宛先IPアドレスである。書き換えられる前の宛先MACアドレスは、当該パケットが書き換えられる前における当該パケットの宛先MACアドレス、すなわち、当該パケットを判断部9が受信した時点の当該パケットの宛先MACアドレスである。したがって、判断部9は、当該パケットが当初宛先となっていたICSネットワーク4内の機器のIPアドレスとMACアドレスの組を、元宛先情報として記憶する。 Following step 845, the determination unit 9 stores the pair of the destination IP address before being rewritten and the destination MAC address before being rewritten as the original destination information in step 850. The destination IP address before being rewritten is the destination IP address of the packet before the packet is rewritten, that is, the destination IP address of the packet when the determination unit 9 receives the packet. The destination MAC address before being rewritten is the destination MAC address of the packet before the packet is rewritten, that is, the destination MAC address of the packet when the determination unit 9 receives the packet. Therefore, the determination unit 9 stores the set of the IP address and the MAC address of the device in the ICS network 4 to which the packet was originally the destination as the original destination information.

第2端末2の捕獲部22は、このようにして受信した当該パケットに基づいて、第1実施形態の図3のステップ710、720に示した処理を行うことで、マルウェアの捕獲を試みる。これにより、当該パケットがマルウェアを送信するためのものである場合、第2端末2がマルウェアを捕獲できる。また、第2端末2は、ステップ710において、マルウェア捕獲のために、当該パケット(以下、受信パケットという)に応答するパケット(以下、応答パケットという)をシャドウネットワーク4Bに送信する場合がある。 The capture unit 22 of the second terminal 2 attempts to capture malware by performing the processes shown in steps 710 and 720 of FIG. 3 of the first embodiment based on the packet received in this way. As a result, when the packet is for transmitting malware, the second terminal 2 can capture the malware. Further, in step 710, the second terminal 2 may transmit a packet (hereinafter, referred to as a response packet) that responds to the packet (hereinafter, referred to as a received packet) to the shadow network 4B in order to capture malware.

この応答パケットは、宛先IPアドレスとして、受信パケット中の送信元IPアドレスが含まれる。また、この応答パケットには、送信元IPアドレスとして、第2端末2のIPアドレスが含まれる。また、この応答パケットには、宛先MACアドレスとして、ルータ7のMACアドレスが含まれる。また、この応答パケットには、送信元MACアドレスとして、第2端末2のMACアドレスが含まれる。 This response packet includes the source IP address in the received packet as the destination IP address. Further, the response packet includes the IP address of the second terminal 2 as the source IP address. Further, this response packet includes the MAC address of the router 7 as the destination MAC address. Further, this response packet includes the MAC address of the second terminal 2 as the source MAC address.

判断部9は、上り転送処理のステップ910、920の繰り返し中に、この応答パケットがシャドウネットワーク4Bに送信されると、当該応答パケットを受信し、ステップ920で、シャドウネットワーク4Bからパケットを受信したと判定し、ステップ940に進む。 When the response packet is transmitted to the shadow network 4B during the repetition of steps 910 and 920 of the uplink transfer process, the determination unit 9 receives the response packet, and in step 920, receives the packet from the shadow network 4B. Is determined, and the process proceeds to step 940.

判断部9は、ステップ940で、受信した応答パケットの送信元が第2端末2であるか否かを判定する。この応答パケットの送信元は、上述の通り第2端末2である。したがって、判断部9は、受信した応答パケットの送信元が第2端末2であると判定してステップ960に進む。 In step 940, the determination unit 9 determines whether or not the source of the received response packet is the second terminal 2. The source of this response packet is the second terminal 2 as described above. Therefore, the determination unit 9 determines that the source of the received response packet is the second terminal 2, and proceeds to step 960.

判断部9は、ステップ960で、当該応答パケットの送信元IPアドレスを書き換える。具体的には、ステップ850で元宛先情報として記録されたIPアドレスを、当該応答パケットの送信元IPアドレスに上書きする。 In step 960, the determination unit 9 rewrites the source IP address of the response packet. Specifically, the IP address recorded as the source destination information in step 850 is overwritten with the source IP address of the response packet.

続いて判断部9は、ステップ970で、当該応答パケットの送信元MACアドレスを書き換える。具体的には、ステップ850で元宛先情報として記録されたMACアドレスを、当該応答パケットの送信元MACアドレスに上書きする。 Subsequently, the determination unit 9 rewrites the source MAC address of the response packet in step 970. Specifically, the MAC address recorded as the source destination information in step 850 is overwritten with the source MAC address of the response packet.

これにより、当該応答パケットは、当初の攻撃者の標的となっていたICSネットワーク4中の機器から送信されたものであるように偽装され、かつ、第2端末2から送信されたものであることを示す情報が除去される。 As a result, the response packet is disguised as being transmitted from the device in the ICS network 4 that was the target of the original attacker, and is transmitted from the second terminal 2. Information indicating that is removed.

続いて判断部9は、ステップ980で、ステップ960、970にて書き換えられた当該パケットを、ルータ7に転送する。これにより、当該パケットは、ルータ7から上記受信パケットの送信元に、すなわち、攻撃者側の通信装置に、送信される。これにより、攻撃者側の通信装置は、第2端末2にマルウェアを捕獲されているにもかかわらず、ICSネットワーク4内のホストを攻撃していると騙される。判断部9は、ステップ980の後、ステップ910に戻る。 Subsequently, the determination unit 9 forwards the packet rewritten in steps 960 and 970 to the router 7 in step 980. As a result, the packet is transmitted from the router 7 to the source of the received packet, that is, to the communication device on the attacker side. As a result, the attacker's communication device is deceived as attacking the host in the ICS network 4 even though the malware has been captured by the second terminal 2. The determination unit 9 returns to step 910 after step 980.

以上説明した通り、本実施形態では、1つ以上の仮想ホストが属するシャドウネットワーク4Bとは異なるICSネットワーク4に、保護対象の機器41〜44が属する。そして、判断部9は、パケットの内容に基づいて、パケットの転送先をシャドウネットワーク4BとICSネットワーク4の間で切り替える。したがって、保護すべき機器41〜44が属するICSネットワーク4に攻撃のためのパケットが流れにくくなる。その結果、保護すべき機器41〜44の安全性が向上する。 As described above, in the present embodiment, the devices 41 to 44 to be protected belong to the ICS network 4 different from the shadow network 4B to which one or more virtual hosts belong. Then, the determination unit 9 switches the forwarding destination of the packet between the shadow network 4B and the ICS network 4 based on the content of the packet. Therefore, it becomes difficult for the attack packet to flow to the ICS network 4 to which the devices 41 to 44 to be protected belong. As a result, the safety of the devices 41 to 44 to be protected is improved.

また、判断部9は、パケットが正常であるか否かを判定し、パケットが正常である場合、パケットをICSネットワーク4に転送し、パケットが異常である場合、パケットをシャドウネットワーク4Bに転送する。これにより、ICSネットワーク4内の保護対象の機器41〜44が攻撃される可能性が低下する。 Further, the determination unit 9 determines whether or not the packet is normal, and if the packet is normal, the packet is forwarded to the ICS network 4, and if the packet is abnormal, the packet is forwarded to the shadow network 4B. .. This reduces the possibility that the protected devices 41 to 44 in the ICS network 4 will be attacked.

また、判断部9は、パケットが異常であり、かつ、パケットの宛先が保護対象の機器41〜44である場合、パケットに含まれるパケットの宛先を、第1のネットワーク上の所定の第2端末2に書き換え、書き換えられたパケットをシャドウネットワーク4Bに転送する。その後判断部9は、第2端末2から応答パケットを受信した場合、応答パケットに含まれるパケットの送信元を、保護対象の機器に書き換え、書き換えられた応答パケットを外部のネットワーク4Xに送信する。これにより、攻撃者側の通信装置は、目的の攻撃先の機器にパケットが届いていないにもかかわらず、当該機器を攻撃していると騙される。 Further, when the packet is abnormal and the destination of the packet is the devices 41 to 44 to be protected, the determination unit 9 sets the destination of the packet included in the packet to a predetermined second terminal on the first network. It is rewritten to 2 and the rewritten packet is transferred to the shadow network 4B. After that, when the response packet is received from the second terminal 2, the determination unit 9 rewrites the source of the packet included in the response packet to the device to be protected, and transmits the rewritten response packet to the external network 4X. As a result, the attacker's communication device is deceived as attacking the target device even though the packet has not arrived at the target device.

また、判断部9は、パケットの宛先が基本仮想ホストである場合、パケットをシャドウネットワーク4Bに転送する。これにより、攻撃相手の欺瞞が第1実施形態と同様に可能になる。 Further, when the destination of the packet is the basic virtual host, the determination unit 9 forwards the packet to the shadow network 4B. As a result, the attacking party can be deceived as in the first embodiment.

なお、ルータ7は、ICSネットワーク4内のすべての機器41〜44のIPアドレスおよびMACアドレス、第1端末1のIPアドレスおよびMACアドレス、第2端末2のIPアドレスおよびMACアドレスの情報を、あらかじめ記憶していてもよい。 The router 7 previously obtains information on the IP addresses and MAC addresses of all the devices 41 to 44 in the ICS network 4, the IP address and MAC address of the first terminal 1, and the IP address and MAC address of the second terminal 2. You may remember it.

あるいは、ルータ7は、ICSネットワーク4内のすべての機器41〜44のIPアドレスおよびMACアドレスの情報を、それら機器41〜44から送信されるパケット(例えば、ARPリクエスト、ARPリプライ)によって、取得しても良い。 Alternatively, the router 7 acquires the IP address and MAC address information of all the devices 41 to 44 in the ICS network 4 by the packet (for example, ARP request, ARP reply) transmitted from those devices 41 to 44. You may.

また、ルータ7は、第1端末1のHE部11によって生成されるすべての仮想ホストのIPアドレスおよびMACアドレスの情報を、それら仮想ホストから送信されるパケット(例えば、ARPリクエスト、ARPリプライ)によって、取得しても良い。 Further, the router 7 transmits the IP address and MAC address information of all the virtual hosts generated by the HE unit 11 of the first terminal 1 by the packet (for example, ARP request, ARP reply) transmitted from those virtual hosts. , You may get it.

(他の実施形態)
なお、本発明は上記した実施形態に限定されるものではなく、適宜変更が可能である。例えば、以下の変形例のうち明らかに矛盾する組み合わせを除く任意の組み合わせを、上記実施形態に適用することができる。 (Other embodiments)
The present invention is not limited to the above-described embodiment, and can be changed as appropriate. For example, any combination of the following modifications except for clearly contradictory combinations can be applied to the above embodiment.

(変形例1)
上記実施形態において、HE部11は、ステップ105を実行する前に、ICSネットワーク4のポートスキャンを行うことで、ICSネットワーク4上に接続された第1端末1以外のすべての通信端末のポート構成を検出してもよい。ポート構成が検出される通信端末は、例えば、上述の制御機器および制御対象機器である。ポート構成が検出される通信端末は、1つでもよいし、複数でもよい。 (Modification example 1)
In the above embodiment, the HE unit 11 performs a port scan of the ICS network 4 before executing step 105, so that the port configuration of all communication terminals other than the first terminal 1 connected on the ICS network 4 is configured. May be detected. The communication terminal for which the port configuration is detected is, for example, the above-mentioned control device and control target device. The number of communication terminals for which the port configuration is detected may be one or a plurality.

この場合、HE部11は、ステップ105において、ポート構成を検出した通信端末毎に、当該通信端末のポート構成と同じポート構成を有すると共に当該通信端と異なるIPアドレスを有する仮想ホストを生成してもよい。ステップ135でも同様である。 In this case, in step 105, the HE unit 11 generates a virtual host having the same port configuration as the port configuration of the communication terminal and having an IP address different from the communication terminal for each communication terminal that has detected the port configuration. May be good. The same applies to step 135.

このように、既にICSネットワーク4上にある1個以上の通信端末と同じポート構成で1個以上の仮想ホストを生成することで、攻撃者を1個以上の仮想ホストに誘導し易くすることができる。また、このようにすることで、第1のネットワーク上にある端末数が仮想的に約2倍になるので、攻撃者が攻撃対象を絞り難くすることができる。 In this way, by generating one or more virtual hosts with the same port configuration as one or more communication terminals already on the ICS network 4, it is possible to easily guide an attacker to one or more virtual hosts. can. Further, by doing so, the number of terminals on the first network is virtually doubled, so that it is difficult for an attacker to narrow down the attack target.

(変形例2)
上記実施形態においては、HE部11は、第2種のポートP2にリクエストがあった場合にのみ、当該第2種のポートP2への通信がマルウェア送信の兆候であれば、ホスト切替部12を起動している。 (Modification 2)
In the above embodiment, the HE unit 11 uses the host switching unit 12 only when there is a request for the port P2 of the second type if the communication to the port P2 of the second type is a sign of malware transmission. It is running.

しかし、必ずしもこのようになっておらずともよい。例えば、HE部11は、第1種のポートP1にリクエストがあった場合でも、当該第1種のポートP1への通信がマルウェア送信の兆候であれば、ホスト再構成部13を起動することなくホスト切替部12を起動してもよい。 However, this does not necessarily have to be the case. For example, the HE unit 11 does not start the host reconfiguration unit 13 even if there is a request for the first type port P1 if the communication to the first type port P1 is a sign of malware transmission. The host switching unit 12 may be activated.

(変形例3)
上記実施形態において、クラウド6は、HE部11、ホスト切替部12、ホスト再構成部13、接続制御部21、捕獲部22の作動を制御するようになっていてもよい。 (Modification example 3)
In the above embodiment, the cloud 6 may control the operation of the HE unit 11, the host switching unit 12, the host reconstruction unit 13, the connection control unit 21, and the capture unit 22.

(変形例4)
上記実施形態においては、HE部11によって生成される仮想ホストの数は複数個である。しかし、HE部11によって生成される仮想ホストが1個だけであってもよい。 (Modification example 4)
In the above embodiment, the number of virtual hosts generated by the HE unit 11 is a plurality. However, only one virtual host may be generated by the HE unit 11.

(変形例5)
上記早期警戒システムの適用対象は、ICSネットワーク4に限らず、他のネットワークであってもよい。 (Modification 5)
The application target of the early warning system is not limited to the ICS network 4, and may be other networks.

(変形例6)
上記第2実施形態において、第1端末1、第2端末2、判断部9、シャドウネットワーク4Bのうち任意の1つまたは任意の複数の組み合わせは、仮想的ではなく実際のハードウェアとして実現されていてもよい。 (Modification 6)
In the second embodiment, any one or any combination of the first terminal 1, the second terminal 2, the determination unit 9, and the shadow network 4B is realized as actual hardware rather than virtual hardware. You may.

例えば、判断部9と第1端末1とが互いに別のハードウェアとして実現され得る。この場合、第1端末1と判断部9が、通信端末を構成する。 For example, the determination unit 9 and the first terminal 1 can be realized as different hardware from each other. In this case, the first terminal 1 and the determination unit 9 constitute a communication terminal.

また、第1端末1、第2端末2、判断部9が互いに別のハードウェアとして実現され得る。この場合、第1端末1および第2端末2は、シャドウネットワーク4BではなくICSネットワーク4に属してもよい。 Further, the first terminal 1, the second terminal 2, and the determination unit 9 can be realized as different hardware from each other. In this case, the first terminal 1 and the second terminal 2 may belong to the ICS network 4 instead of the shadow network 4B.

(変形例7)
上記第2実施形態における通信システムに対してルータ7を廃し、判断部9がルータ7の機能を具有していてもよい。この場合、判断部9のルータを実現する部分は、シャドウネットワーク4BにARPリクエストを送信してARPリプライを受信することで、シャドウネットワーク4B内の仮想ホストのMACアドレスの情報を取得することができる。 (Modification 7)
The router 7 may be abolished with respect to the communication system in the second embodiment, and the determination unit 9 may have the function of the router 7. In this case, the part that realizes the router of the determination unit 9 can acquire the MAC address information of the virtual host in the shadow network 4B by transmitting the ARP request to the shadow network 4B and receiving the ARP reply. ..

A、B、C、D、P、Q、R、S、T 仮想ホスト
4 ICSネットワーク
4B シャドウネットワーク
6 クラウド
11 ホストエミュレーション部
12 ホスト切替部
13 ホスト再構成部
14 外部通信部
22 捕獲部
41〜44 保護対象機器
A, B, C, D, P, Q, R, S, T Virtual host 4 ICS network 4B Shadow network 6 Cloud 11 Host emulation unit 12 Host switching unit 13 Host reconstruction unit 14 External communication unit 22 Capture unit 41-44 Protected equipment

Claims (11)

第1のネットワーク(4、4B)に1個以上の基本仮想ホスト(A、B、C、D、P、Q、R、S、T)を生成するホストエミュレーション部(11)と、
前記1個以上の基本仮想ホストのうち第1基本仮想ホスト宛に前記第1のネットワークから通信があったことに基づいて、前記第1基本仮想ホストを前記第1のネットワークから消滅させるよう、前記ホストエミュレーション部を制御するホスト制御部(12、13)と、を備えた通信端末。 A host emulation unit (11) that generates one or more basic virtual hosts (A, B, C, D, P, Q, R, S, T) in the first network (4, 4B).
The first basic virtual host is extinguished from the first network based on the communication from the first network to the first basic virtual host among the one or more basic virtual hosts. A communication terminal including a host control unit (12, 13) that controls a host emulation unit. 前記ホスト制御部は、前記第1基本仮想ホストが、前記第1のネットワークから前記第1基本仮想ホスト宛の通信に対して応答した後に、前記第1基本仮想ホストを前記第1のネットワークから消滅させるよう、前記ホストエミュレーション部を制御することを特徴とする請求項1に記載の通信端末。 The host control unit eliminates the first basic virtual host from the first network after the first basic virtual host responds to a communication from the first network to the first basic virtual host. The communication terminal according to claim 1, wherein the host emulation unit is controlled so as to cause the host emulation unit. 前記ホスト制御部は、ホスト再構成部(13)を備え、
前記ホスト再構成部は、前記第1基本仮想ホストを前記第1のネットワークから消滅させた後、前記第1基本仮想ホストのアドレスとは異なるアドレスが付与された追加仮想ホスト(P、Q、R、S、T)を生成するよう、前記ホストエミュレーション部を制御する請求項1または2に記載の通信端末。 The host control unit includes a host reconstruction unit (13).
The host reconfiguration unit eliminates the first basic virtual host from the first network, and then assigns an address different from the address of the first basic virtual host (P, Q, R). , S, T). The communication terminal according to claim 1 or 2, which controls the host emulation unit so as to generate. 前記1個以上の基本仮想ホストは、複数個の基本仮想ホストであり、
前記第1基本仮想ホストは、前記複数個の基本仮想ホストのうち前記第1のネットワークを介して通信があった基本仮想ホストであり、
前記ホスト制御部は、マルウェアを捕獲する機能を有する捕獲用通信部(2)を制御するホスト切替部(12)を備え、
前記ホスト切替部は、前記第1基本仮想ホストが前記第1のネットワークからの通信に対して応答した後、前記第1基本仮想ホストへの通信に前記マルウェアの送信の兆候がある場合に、前記第1基本仮想ホストを前記第1のネットワークから消滅させるよう、前記ホストエミュレーション部を制御すると共に、前記捕獲用通信部を前記第1基本仮想ホストと同じアドレスで前記第1のネットワークに接続させることを特徴とする請求項1ないし3のいずれか1つに記載の通信端末。 The one or more basic virtual hosts are a plurality of basic virtual hosts.
The first basic virtual host is a basic virtual host that communicates via the first network among the plurality of basic virtual hosts.
The host control unit includes a host switching unit (12) that controls a capture communication unit (2) having a function of capturing malware.
When the first basic virtual host responds to the communication from the first network and then the communication to the first basic virtual host shows signs of transmitting the malware, the host switching unit may perform the above. The host emulation unit is controlled so that the first basic virtual host disappears from the first network, and the capture communication unit is connected to the first network at the same address as the first basic virtual host. The communication terminal according to any one of claims 1 to 3, wherein the communication terminal is characterized by. 前記ホスト切替部は、前記第1のネットワークとは異なる第2のネットワーク(5)を介して前記捕獲用通信部に前記第1基本仮想ホストのアドレスを送信し、
前記捕獲用通信部は、前記第2のネットワークを介して前記第1基本仮想ホストのアドレスを受信したことに基づいて、前記第1基本仮想ホストと同じアドレスで前記第1のネットワークに接続して前記マルウェアを捕獲することを特徴とする請求項4に記載の通信端末。 The host switching unit transmits the address of the first basic virtual host to the capture communication unit via a second network (5) different from the first network.
The capture communication unit connects to the first network with the same address as the first basic virtual host based on receiving the address of the first basic virtual host via the second network. The communication terminal according to claim 4, wherein the malware is captured. 第1のネットワーク(4、4B)に仮想ホスト(A、B、C、D、P、Q、R、S、T)を生成するホストエミュレーション部(11)と、
前記仮想ホスト宛の通信が前記第1のネットワークからあったことに基づいて、前記仮想ホスト宛の通信のログを前記第1のネットワークの外部にある遠隔通信システム(6)に送信し始める外部通信部(14)と、を備えた通信端末。 A host emulation unit (11) that generates virtual hosts (A, B, C, D, P, Q, R, S, T) in the first network (4, 4B), and
External communication that starts transmitting a log of communication addressed to the virtual host to a remote communication system (6) outside the first network based on the communication addressed to the virtual host from the first network. A communication terminal provided with a unit (14). 前記外部通信部は、前記ログを前記第1のネットワークを介さずに前記遠隔通信システム(6)に送信することを特徴とする請求項6に記載の通信端末。 The communication terminal according to claim 6, wherein the external communication unit transmits the log to the remote communication system (6) without going through the first network. パケットを転送する判断部(9)を備え、
前記1個以上の基本仮想ホストが属する前記第1のネットワークとは異なる保護ネットワーク(4)に、保護対象の機器(41〜44)が属し、
前記判断部は、前記パケットの内容に基づいて、前記パケットの転送先を前記第1のネットワークと前記保護ネットワークの間で切り替えることを特徴とする請求項1ないし7のいずれか1つに記載の通信端末。 Equipped with a judgment unit (9) for forwarding packets
The devices (41 to 44) to be protected belong to the protection network (4) different from the first network to which the one or more basic virtual hosts belong.
The determination unit according to any one of claims 1 to 7, wherein the determination unit switches the forwarding destination of the packet between the first network and the protection network based on the content of the packet. Communication terminal. 前記判断部は、前記パケットが正常であるか否かを判定し、前記パケットが正常である場合、前記パケットを前記保護ネットワークに転送し、前記パケットが異常である場合、前記パケットを前記第1のネットワークに転送することを特徴とする請求項8に記載の通信端末。 The determination unit determines whether or not the packet is normal, transfers the packet to the protection network if the packet is normal, and transfers the packet to the first protection network if the packet is abnormal. The communication terminal according to claim 8, wherein the communication terminal is transferred to the network of the above. 前記判断部は、前記パケットが異常であり、かつ、前記パケットの宛先が前記保護対象の機器である場合、前記パケットに含まれる前記パケットの宛先を、前記第1のネットワーク上の所定のホスト(2)に書き換え、書き換えられた前記パケットを前記第1のネットワークに転送し、その後、前記所定のホストから応答パケットを受信した場合、前記応答パケットに含まれる前記パケットの送信元を、前記保護対象の機器に書き換え、書き換えられた前記応答パケットを外部のネットワーク(4X)に送信することを特徴とする請求項9に記載の通信端末。 When the packet is abnormal and the destination of the packet is the device to be protected, the determination unit sets the destination of the packet included in the packet to a predetermined host on the first network (the determination unit). When the packet rewritten in 2) is transferred to the first network and then a response packet is received from the predetermined host, the source of the packet included in the response packet is protected. The communication terminal according to claim 9, wherein the response packet rewritten and rewritten by the device is transmitted to an external network (4X). 前記判断部は、前記パケットの宛先が前記1個以上の基本仮想ホストである場合、前記パケットを前記第1のネットワークに転送することを特徴とする請求項8ないし10に記載の通信端末。
The communication terminal according to claim 8 to 10, wherein the determination unit transfers the packet to the first network when the destination of the packet is one or more basic virtual hosts.
JP2017196360A 2016-10-27 2017-10-06 Communication device Active JP6932375B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PCT/JP2017/038915 WO2018079716A1 (en) 2016-10-27 2017-10-27 Communication device

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2016210845 2016-10-27
JP2016210845 2016-10-27

Publications (2)

Publication Number Publication Date
JP2018073397A JP2018073397A (en) 2018-05-10
JP6932375B2 true JP6932375B2 (en) 2021-09-08

Family

ID=62115560

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017196360A Active JP6932375B2 (en) 2016-10-27 2017-10-06 Communication device

Country Status (1)

Country Link
JP (1) JP6932375B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3852346A4 (en) * 2018-09-14 2022-06-08 Kabushiki Kaisha Toshiba Communication control device
JP7307648B2 (en) * 2019-09-30 2023-07-12 株式会社日本総合研究所 System, decoy PC, control device, method and program for reverse phishing against phishing mail
WO2023282263A1 (en) * 2021-07-08 2023-01-12 国立大学法人名古屋工業大学 Communication monitoring system in control network

Also Published As

Publication number Publication date
JP2018073397A (en) 2018-05-10

Similar Documents

Publication Publication Date Title
Handley et al. Internet denial-of-service considerations
EP3355514B1 (en) Method and device for transmitting network attack defense policy and method and device for defending against network attack
CN105743878B (en) Dynamic service handling using honeypots
US10931711B2 (en) System of defending against HTTP DDoS attack based on SDN and method thereof
EP2991292B1 (en) Network collaborative defense method, device and system
US20120227088A1 (en) Method for authenticating communication traffic, communication system and protective apparatus
US20190058731A1 (en) User-side detection and containment of arp spoofing attacks
CN105227515A (en) Network intrusions blocking-up method, Apparatus and system
JP6932375B2 (en) Communication device
CN104717205A (en) Industrial control firewall control method based on message reconstitution
US7773540B1 (en) Methods, system and apparatus preventing network and device identification
Kavisankar et al. A mitigation model for TCP SYN flooding with IP spoofing
WO2016177131A1 (en) Method, apparatus, and system for preventing dos attacks
CN108667829B (en) Network attack protection method, device and storage medium
WO2019096104A1 (en) Attack prevention
JP2008306610A (en) Illicit intrusion/illicit software investigation system, and communicating switching device
Li et al. Bijack: Breaking Bitcoin Network with TCP Vulnerabilities
Xiaorong et al. Security analysis for IPv6 neighbor discovery protocol
Belenguer et al. A low-cost embedded IDS to monitor and prevent Man-in-the-Middle attacks on wired LAN environments
JP2010193083A (en) Communication system, and communication method
Singh et al. A detailed survey of ARP poisoning detection and mitigation techniques
CN116319028A (en) Rebound shell attack interception method and device
WO2018079716A1 (en) Communication device
Khurana A security approach to prevent ARP poisoning and defensive tools
Nenovski et al. Real-world ARP attacks and packet sniffing, detection and prevention on windows and android devices

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200918

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210803

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210811

R150 Certificate of patent or registration of utility model

Ref document number: 6932375

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150