认证符管理装置、认证符管理程序和认证符管理方法与流程

1.本发明涉及对认证符进行管理的认证符管理装置。


背景技术：

2.在检测到针对车载系统的网络攻击的情况下，为了正确地检测是什么样的网络攻击，车载系统参照日志。
3.但是，在车载系统生成的日志被不正当地改写的情况下，可能无法检测针对车载系统的网络攻击。因此，在由于检测网络攻击而参照日志时，需要验证是否存在日志的篡改。在日志的篡改验证中，使用散列值或mac(message authentication code：消息认证码)这样的认证符可能成为有效对策。关于日志的篡改，存在针对日志的追加、针对日志的覆盖和日志的删除这样的篡改。
4.在现有技术中，公开有使用散列值或mac这样的认证符检测程序的篡改的方法(例如专利文献1)。在专利文献1中，将认证符分别分配给将程序分割而成的多个分割程序。考虑将专利文献1的程序的篡改的检测方法应用于日志篡改的检测方法。
5.但是，在对多个日志分别分配认证符的情况下，存在产生生成多个认证符的负担和管理多个认证符的负担这样的课题。
6.现有技术文献
7.专利文献
8.专利文献1：国际公开第2019/012952号小册子


技术实现要素：

9.发明要解决的课题
10.本发明存在产生生成多个认证符的负担和管理多个认证符的负担这样的课题。
11.用于解决课题的手段
12.本发明的认证符管理装置具有：组生成部，其生成具有多个对应信息的对应信息组，所述多个对应信息将表示成为网络攻击对象的系统的特征且指定多个日志的特征信息的所述多个日志中包含的2个以上的所述日志、和识别对所述2个以上的日志的正当性进行认证的认证符的标识符对应起来；组管理部，其输出包含所述对应信息表示的所述2个以上的日志且请求生成所述对应信息表示的所述标识符识别的认证符的认证符生成请求，在接收到请求应该参照的日志的日志参照请求的情况下参照所述对应信息组，由此输出验证请求，所述验证请求包含对应于与所述日志参照请求请求参照的所述日志对应的所述标识符的多个日志、以及经由所述标识符与所述日志参照请求请求参照的所述日志对应的所述认证符；认证符生成部，其使用所述认证符生成请求中包含的所述2个以上的日志，生成所述对应信息表示的所述标识符识别的认证符；以及认证符验证部，其使用所述验证请求中包含的所述认证符和所述多个日志验证所述验证请求中包含的所述多个日志的正当性，输出验证结果。
13.发明效果
14.根据本发明，认证符管理装置具有根据特征信息指定的2个以上的日志生成对应信息组的组生成部，因此，能够提供生成多个认证符的负担和管理多个认证符的负担少的认证符管理装置。
附图说明
15.图1是实施方式1的图，是示出攻击检测装置501的硬件结构的图。
16.图2是实施方式1的图，是示出使用mac作为认证符的情况下的mac生成和mac的认证的图。
17.图3是实施方式1的图，是用于说明认证符图表d36的图。
18.图4是实施方式1的图，是示出组生成部30生成的认证符图表d36的图。
19.图5是实施方式1的图，是示出攻击检测部10具有的攻击检测信息11的图。
20.图6是实施方式1的图，是示出在攻击检测装置501的结构要素之间交换的数据的图。
21.图7是实施方式1的图，是示出攻击检测装置501生成关联的认证符图表d64a的动作的流程图。
22.图8是实施方式1的图，是攻击检测装置501在日志更新时对认证符进行更新的动作的流程图。
23.图9是实施方式1的图，是对图8进行补充的图。
24.图10是实施方式1的图，是示出攻击检测装置501进行攻击检测时的认证符验证的动作的流程图。
25.图11是实施方式1的图，是对图10进行补充的图。
26.图12是实施方式1的图，是示出攻击检测信息11被更新时的攻击检测装置501的动作的流程图。
27.图13是实施方式1的图，是对图12进行补充的图。
28.图14是实施方式2的图，是示出攻击检测装置502的功能结构的图。
29.图15是实施方式3的图，是示出攻击检测装置503的功能要素之间的数据流的图。
30.图16是实施方式3的图，是示出攻击检测装置503生成认证符的动作的流程图。
31.图17是实施方式3的图，是对图16进行补充的图。
32.图18是实施方式3的图，是示出中间数据生成部310根据过去生成的中间数据生成认证符d96的状态的图。
33.图19是实施方式3的图，是示出攻击检测装置503验证认证符的动作的流程图。
34.图20是实施方式3的图，是对图19进行补充的图。
35.图21是实施方式4的图，是示出攻击检测装置504中的数据流的图。
36.图22是实施方式4的图，是示出在认证符中反映了计数器值的状态的图。
37.图23是实施方式4的图，是示出计数器410的计数器值被更新时的动作的流程图。
38.图24是实施方式4的图，是对图23进行补充的图。
39.图25是实施方式5的图，是示出攻击检测装置505中的数据流的图。
40.图26是实施方式5的图，是说明日志的取得频度的图。
41.图27是实施方式5的图，是示出组生成部30根据日志取得频度d43生成认证符图表d36的动作的流程图。
42.图28是实施方式5的图，是对图27进行补充的图。
43.图29是实施方式6的图，是示出攻击检测装置506的硬件结构的图。
44.图30是实施方式6的图，是示出攻击检测装置506的硬件结构的另一个图。
具体实施方式
45.下面，使用附图对本发明的实施方式进行说明。另外，在各图中，对相同或相当的部分标注相同标号。在实施方式的说明中，关于相同或相当的部分，适当省略或简化说明。
46.(1)以下的实施方式1～实施方式6中说明的攻击检测装置是认证符管理装置，攻击检测程序是认证符管理程序，攻击检测方法是认证符管理方法。
47.(2)在以下的实施方式中，接口表记为if。
48.(3)在以下的实施方式中，流程图的各处理的括弧表示动作的主体。
49.(4)在以下的实施方式中出现日志，但是，日志是电子数据。日志意味着日志数据。
50.(5)在以下的实施方式的附图中，日志取得部20表示的通信日志、过程日志和认证日志表示发生了更新的情况下的更新数据。或者，日志取得部20所示的通信日志、过程日志和认证日志也可以是包含更新数据的日志整体。
51.实施方式1
52.***结构的说明***
53.参照图1～图13对实施方式1的攻击检测装置501进行说明。
54.图1示出攻击检测装置501的硬件结构。攻击检测装置501具有处理器110、主存储装置120、辅助存储装置130、输入if140、输出if150和通信if160作为硬件。这些硬件由信号线170连接。
55.攻击检测装置501具有攻击检测部10、日志取得部20、组生成部30、日志管理部40、图表管理部60、认证符验证部70和认证符生成部90作为功能要素。日志管理部40和图表管理部60构成组管理部66。另外，在后述的图6、9、11、13、14、15、17、20、21、24、25、28中，省略组管理部66的记载。
56.另外，组生成部30和图表管理部60不需要位于同一装置内。通过使组生成部30和图表管理部60存在于不同的装置内，在组生成部30的处理重的情况下，能够减轻资源被限定的车载系统的负荷。
57.组生成部30生成具有多个对应信息的对应信息组，该多个对应信息将表示成为网络攻击对象的系统的特征且指定多个日志的特征信息的多个日志中包含的2个以上的日志、和识别对2个以上的日志的正当性进行认证的认证符的标识符对应起来。对应信息和对应信息组在图4的说明中进行叙述。
58.特征信息是按照检测网络攻击的多个规则的每个规则对应有多个日志的攻击检测信息11。攻击检测信息11在图11的说明中进行叙述。或者，特征信息是登记有多个日志的更新频度的更新频度信息44。更新频度信息44在实施方式5中进行说明。
59.组管理部66输出认证符生成请求d69，该认证符生成请求d69包含对应信息表示的2个以上的日志，并且请求生成对应信息表示的标识符识别的认证符。组管理部66对认证符
生成请求d69的生成在图12的步骤s35和实施方式5的图27的步骤s75中进行叙述。
60.组管理部66在接收到请求应该参照的日志的日志参照请求d14的情况下参照对应信息组，由此输出验证请求d47，该验证请求d47包含对应于与日志参照请求d14请求参照的日志对应的标识符的多个日志、和经由标识符与日志参照请求d14请求参照的日志对应的认证符。组管理部66对验证请求d47的输出在图10和图11的说明中进行叙述。
61.认证符生成部90使用认证符生成请求d69中包含的2个以上的日志，生成对应信息表示的所述标识符识别的认证符。认证符生成部90对认证符的生成在图12的步骤s36和实施方式5的图27的步骤s76中进行叙述。
62.认证符验证部70使用验证请求d47中包含的认证符和多个日志验证验证请求d47中包含的多个日志的正当性，输出验证结果。认证符验证部70对认证符的验证在图10的步骤s25中进行叙述。
63.图表管理部60对作为认证符图表的对应信息组和生成的认证符进行管理。认证符验证部70使用认证密钥601进行认证符的验证处理。认证符生成部90使用认证密钥601进行认证符的生成处理。此外，作为存储部，具有日志存储部50和认证符存储部80。在日志存储部50中存储有通信日志、过程日志、认证日志、xxx日志、yyy日志和zzz日志。在认证符存储部80中存储有认证符《1》、认证符《2》和认证符《3》。
64.图2示出使用mac作为认证符的情况下的mac生成和mac的认证。另外，以下的实施方式中使用的认证符不限于mac。也可以是使用散列值的方式的认证符。参照图2对mac进行简单说明。
65.首先，对mac的生成进行说明。在攻击检测装置501中，认证符生成部90针对消息m1，使用密钥k(mac)，根据mac生成算法生成mac1a。密钥k(mac)相当于认证密钥601。消息m1是多个日志。例如，消息m1是日志1和日志2。
66.接着，对mac的认证进行说明。认证符验证部70针对作为日志的消息m1，使用密钥k(mac)，根据mac生成算法生成mac1b。密钥k(mac)相当于认证密钥601。认证符验证部70对认证符生成部90生成的mac1a和认证符验证部70生成的mac1b进行核对。如果认证符生成部90生成的mac1a和认证符验证部70生成的mac1b一致，则认证符验证部70判断为日志1和日志2没有篡改。在认证符生成部90生成的mac1a和认证符验证部70生成的mac1b不一致的情况下，认证符验证部70判断为日志1和日志2中的一方或双方被篡改。
67.参照图3、图4、图5对作为攻击检测装置501的特征的认证符图表d36进行说明。
68.图3是用于说明认证符图表d36的图。
69.图4示出组生成部30生成的认证符图表d36。
70.图5示出攻击检测部10具有的攻击检测信息11。
71.如图3所示，组生成部30生成认证符图表d36，将生成的认证符图表d36发送到图表管理部60。图表管理部60对认证符图表d36进行管理。图3的详细情况在后面叙述。
72.(认证符图表d36)
73.认证符图表d36是具有多个对应信息的对应信息组。如图4所示，认证符图表d36是具有将多个日志和识别使用多个日志生成的认证符的标识符对应起来的多个对应信息的对应信息组。在图4中，《1》、《2》、《3》表示识别认证符的标识符。在图3中，标识符《1》对应于认证符《1》，标识符《2》对应于认证符《2》，标识符《3》对应于认证符《3》。标识符《1》与“通信
日志、认证日志”的对应是对应信息，标识符《2》与“过程日志、xxx日志、yyy日志”的对应是对应信息，标识符《3》与“认证日志、zzz日志”的对应是对应信息。
74.(攻击检测信息11)
75.组生成部30根据攻击检测信息11生成认证符图表d36。如图5所示，攻击检测信息11具有攻击检测规则11-1、11-2、11-3、
…
这样的多个攻击检测规则。攻击检测规则由“and”、“or”这样的逻辑式来记载。多个攻击检测规则的各个攻击检测规则经由攻击方式信息13对应有多个日志。
76.下面，进行具体说明。
77.组生成部30参照攻击检测规则11-1，识别到攻击方式《a》和攻击方式《c》相关联。同时，组生成部30通过攻击方式信息13识别到攻击方式《a》与过程日志相关联，攻击方式《c》与通信日志相关联。组生成部30将根据攻击检测规则11-1识别到的结果反映到认证符图表d36中。
78.同样，组生成部30参照攻击检测规则11-2，识别到攻击方式《b》和攻击方式《a》相关联。同时，组生成部30通过攻击方式信息13识别到攻击方式《b》与通信日志相关联，攻击方式《a》与过程日志相关联。组生成部30将根据攻击检测规则11-2识别到的结果反映到认证符图表d36中。组生成部30反复进行这些动作，按照每个检测规则，根据其识别结果生成认证符图表d36。
79.关于攻击检测规则11-3，如果以日志来看，则是“xxx日志”and(“过程日志”or“认证日志”)这样的关联。关于该逻辑式，组生成部30也可以关联全部日志作为“xxx日志”and“过程日志”and“认证日志”。或者，组生成部30也可以按照逻辑式，分成“xxx日志”和“过程日志”、以及“xxx日志”和“认证日志”这样的关联，反映到认证符图表d36中。
80.图6示出在攻击检测装置501的结构要素之间交换的数据。参照图6对由攻击检测装置501交换的数据进行说明。
81.(d13)
82.攻击检测部10向组生成部30发送检测信息更新通知d13。检测信息更新通知d13是得知攻击检测信息11被更新的通知。
83.(d14)
84.攻击检测部10将日志参照请求d14发送到日志管理部40。日志参照请求d14是如下数据：在攻击检测部10开始进行检测处理时，攻击检测部10进一步进行攻击检测处理，因此，请求日志管理部40取得应该参照的日志。
85.(d24)
86.日志取得部20向日志管理部40发送日志写入请求d24。日志写入请求d24请求写入产生了更新的日志。
87.(d36)
88.组生成部30向图表管理部60发送认证符图表d36。认证符图表d36如图4中说明的那样。
89.(d41、d46a、d46b、d46c、d47)
90.日志管理部40向攻击检测部10发送日志d41。日志管理部40向图表管理部60发送日志d46a。日志管理部40向图表管理部60发送日志更新通知d46b。日志更新通知d46b通知
被更新后的日志。日志管理部40向图表管理部60发送认证符询问d46c。认证符询问d46c询问基于攻击检测部10的日志参照请求d14请求的日志对应的认证符。图表管理部60根据认证符图表d36确定日志参照请求d14请求的日志对应的认证符。
91.(d64a、d64b、d69)
92.图表管理部60向日志管理部40发送关联的认证符图表d64a。关联的认证符图表d64a是图表管理部60管理的认证符图表d36的一部分。即，是认证符图表d36具有的全部的对应信息中的一部分对应信息。另外，作为关联的认证符图表d64a，图表管理部60也可以发送认证符图表d36。图表管理部60向日志管理部40发送认证符d64b。图表管理部60向认证符生成部90发送认证符生成请求d69。认证符生成请求d69是图表管理部60请求认证符生成部90生成认证符的数据。
93.(d74)
94.认证符验证部70向日志管理部40发送验证结果d74。验证结果d74相当于图2的mac1a和mac1b的核对结果。
95.(d96)
96.认证符生成部90向图表管理部60发送生成的认证符d96。
97.***动作的说明***
98.下面，对攻击检测装置501的动作进行说明。攻击检测装置501的动作顺序相当于攻击检测方法。实现攻击检测装置501的动作的程序相当于攻击检测程序。
99.图7是示出作为准备阶段，攻击检测装置501生成关联的认证符图表d64a的动作的流程图。图3还是对图7进行补充的图，因此，参照图7和图3，作为准备阶段，对攻击检测装置501生成认证符图表64a的动作进行说明。
100.(1)在步骤s01中，组生成部30根据检测网络攻击且对应有多个日志的规则即图5所示的攻击检测规则，生成作为对应信息组的认证符图表。具体而言，组生成部30根据攻击检测信息11生成认证符图表d36，将认证符图表d36发送到图表管理部60。组生成部30对认证符图表d36的生成如下所述。攻击检测部10根据攻击检测规则从日志管理部40提取关联的日志(例如通信日志和过程日志)，从这些日志中搜索有无“攻击方式”的痕迹。例如，攻击检测部10从过程日志搜索“特定过程启动”的痕迹，从通信日志中搜索“端口扫描”的痕迹。这样，根据攻击检测规则，存在应参照的多个日志。然后，组生成部30通过参照多个日志，生成认证符图表d36。
101.(2)在步骤s02中，图表管理部60向日志管理部40发送关联的认证符图表d64a。日志管理部40接收关联的认证符图表d64a，由此得知认证符与日志的对应。
102.(3)在步骤s03中，日志管理部40向图表管理部60发送利用关联的认证符图表d64a对应起来的日志。
103.(4)在步骤s04中，图表管理部60向认证符生成部90发送认证符生成请求d69。
104.(5)在步骤s05中，认证符生成部90根据由日志管理部40取得的多个日志，按照每个标识符生成由标识符识别的认证符。认证符生成部90生成认证符d96，将认证符d96返回给图表管理部60。
105.图表管理部60将从认证符生成部90接收到的认证符存储于认证符存储部80进行管理。
106.图8是攻击检测装置501在日志更新时对认证符进行更新的动作的流程图。
107.图9是对图8进行补充的图。
108.(1)在步骤s11中，日志取得部20向日志管理部40发送日志写入请求d24。
109.(2)在步骤s12中，在接收到日志写入请求d24的情况下，日志管理部40向图表管理部60发送日志更新通知d46b。
110.(3)在步骤s13中，在接收到日志更新通知d46b的情况下，图表管理部60向日志管理部40发送关联的认证符图表d64a。
111.(4)在步骤s14中，日志管理部40从日志存储部50提取关联的认证符图表d64a中记载的日志，将提取出的日志日志46a转送到图表管理部60。
112.(5)在步骤s15中，图表管理部60在与作为对应信息组的认证符图表的标识符对应的日志被更新的情况下，取得表示被更新后的日志的更新日志，输出认证符生成请求，该认证符生成请求指示生成与更新日志对应的标识符识别的认证符。具体而言，在接收到日志46a的情况下，图表管理部60向认证符生成部90发送认证符生成请求d69。认证符生成请求d69包含日志46a。
113.(6)在步骤s16中，认证符生成部90在输出了认证符生成请求的情况下，使用被更新后的更新日志生成在作为对应信息组的认证符图表中与更新日志对应的标识符识别的认证符。具体而言，在接收到认证符生成请求d69的情况下，认证符生成部90生成认证符d96，将认证符d96发送到图表管理部60。
114.(7)在步骤s17中，图表管理部60对使用更新日志生成的认证符进行管理。具体而言，图表管理部60将接收到的认证符d96存储于认证符存储部80，将与认证符d96对应的认证符更新成认证符d96。
115.图10是示出攻击检测装置501进行攻击检测时的认证符验证动作的流程图。
116.图11是对图10进行补充的图。
117.(1)在步骤s21中，攻击检测部10根据需要输出请求应该参照的日志的日志参照请求。具体而言，攻击检测部10向日志管理部40发送日志参照请求d14。
118.(2)在步骤s22中，日志管理部40向图表管理部60发送认证符询问d46c，该认证符询问d46c请求与日志参照请求d14请求的日志对应的认证符d64b。
119.(3)在步骤s23中，图表管理部60参照作为对应信息组的认证符图表提取与日志参照请求请求的日志对应的认证符。图表管理部60向日志管理部40发送提取出的认证符d64b。
120.(4)在步骤s24中，日志管理部40向认证符验证部70发送验证请求d47。具体而言，验证请求d47是认证符d64b和用于生成认证符d64b的日志。
121.(5)在步骤s25中，认证符验证部70通过使用经由认证符图表中的对应信息的标识符与提取出的认证符对应的多个日志，生成与提取出的认证符对应的对应认证符，验证对应认证符，输出表示是否成功的验证结果。认证符验证部70向日志管理部40发送验证结果d74。
122.(6)在步骤s26中，组管理部66的日志管理部40在认证符验证部70的正当性的验证结果表示正当的情况下，响应于日志参照请求d14而向攻击检测部10输出日志参照请求d14请求参照的日志。具体而言，在验证结果d74为“成功”的情况下，日志管理部40向攻击检测
部10发送日志参照请求d14请求的日志d41。
123.这样，攻击检测部10取得通过由于日志参照请求而生成的验证请求验证为正当的日志，使用取得的日志判定有无网络攻击。取得了日志的攻击检测部10能够与攻击检测相伴地参照日志。
124.在以上说明的步骤s21～步骤s26中，关于来自攻击检测部10的日志参照请求d14请求的日志以外的日志，不等待写入就能够为了更新而写入日志的可能性变高。
125.例如，在图11中，日志参照请求d14请求参照认证日志和zzz日志。此时，设在通信日志、过程日志和认证日志中产生更新而需写入。在产生了更新的认证日志中未进行写入，但是，通信日志和过程日志能够进行更新。
126.图12是示出攻击检测信息11被更新时的攻击检测装置501的动作的流程图。
127.图13是对图12进行补充的图。
128.(1)在步骤s31中，组生成部30从攻击检测部10接收检测信息更新通知d13。检测信息更新通知d13包含被更新后的新的攻击检测信息11a。
129.(2)在步骤s32中，组生成部30根据接收到的攻击检测信息11a新生成认证符图表d36a，向图表管理部60发送认证符图表d36a。
130.(3)在步骤s33中，在接收认证符图表d36a后，图表管理部60向日志管理部40发送关联的认证符图表d64a。这里，关联的认证符图表d64a是在新的认证符图表d36a和保有的认证符图表d36a中不同的对应信息。
131.(4)在步骤s34中，在接收关联的认证符图表d64a后，日志管理部40将通过关联的认证符图表d64a与标识符对应起来的日志d46a发送到图表管理部60。
132.(5)在步骤s35中，在接收日志d46a后，图表管理部60向认证符生成部90发送认证符生成请求d69。认证符生成请求d69包含日志d46a。
133.(6)在步骤s36中，在接收认证符生成请求d69后，认证符生成部90生成认证符d96，将其发送到图表管理部60。
134.***实施方式1的效果***
135.在实施方式1的攻击检测装置501中，组生成部30生成认证符图表d36，图表管理部60对认证符图表d36进行管理。由此，能够提供减少认证符的管理负担和日志的写入等待时间的认证符管理装置。
136.作为日志的篡改检测方法，考虑对多个日志分别分配认证符的方法。但是，在该方式中，在日志删除的篡改的情况下，无法检测日志删除。与此相对，在实施方式1的攻击检测装置501中，根据多个日志生成一个认证符，因此，能够检测日志删除的篡改。
137.此外，作为日志的篡改检测方法，还考虑对多个日志整体分配认证符的方式。但是，在该方式中，在由于检测网络攻击而参照日志时，在认证符的验证中使用多个日志的整体，因此，即使任意日志被更新而需要写入，也无法对日志进行写入，日志写入等待时间变长。与此相对，在实施方式1的攻击检测装置501中，将多个对应信息的各对应信息和认证符对应起来进行管理，因此，能够抑制日志写入等待时间变长。
138.实施方式2
139.参照图14对实施方式2的攻击检测装置502进行说明。
140.图14示出实施方式2的攻击检测装置502的功能结构。攻击检测装置502的日志管
理部40具有验证时机控制部210。在攻击检测装置501中，认证符验证部70由于日志管理部40从攻击检测部10接收到的日志参照请求d14，利用步骤s21～步骤s26的流程验证认证符。因此，从接收到日志参照请求d14起经由验证处理到向攻击检测部10发送被请求的日志为止，产生时滞。因此，在攻击检测装置502中，与来自攻击检测部10的日志参照请求d14无关地，验证时机控制部210与日志参照请求d14不同步地使认证符验证部70“验证认证符”。下面，对验证时机控制部210的动作进行说明。
141.攻击检测部10监视网络攻击的进行状况。攻击检测部10例如通过图5所示的攻击检测规则的and项中的判定为真的and项的个数或判定为真的and项的比例来判断网络攻击的进行状况。
142.验证时机控制部210根据网络攻击的进行状况决定验证请求d47应该包含的多个日志和所述认证符，并且对输出验证请求d47的时机进行控制。
143.验证时机控制部210根据攻击检测部10监视的网络攻击的进行状况，将请求验证认证符的验证请求211间歇地输出到认证符验证部70。
144.每当输出验证请求211时，认证符验证部70通过使用经由对应信息的标识符与验证请求211请求的认证符对应的多个日志，验证验证请求211请求的认证符。
145.具体而言，如下所述。验证时机控制部210从攻击检测部10接收攻击检测部10检测的攻击进行度12。验证时机控制部210根据攻击进行度12，按照认证符图表d36中记载的认证符的每个标识符，对认证符的验证请求时机进行控制。设攻击进行度12的值变化为10、20、30。攻击进行度12的值越大，则攻击越进行。
146.例如，验证时机控制部210在攻击进行度12的值为10时，验证与认证符图表d36的标识符《1》对应的认证符《1》。验证时机控制部210从日志存储部50取得与认证符《1》对应的通信日志和认证日志，从图表管理部60取得认证符《1》。验证时机控制部210向认证符验证部70发送验证请求d47。验证请求d47包含认证符《1》、通信日志和认证日志。认证符验证部70执行认证符《1》的验证处理，将验证结果d74发送到验证时机控制部210。
147.在攻击进行度12的值从10变化为20的情况下，验证时机控制部210验证与认证符图表d36的标识符《2》对应的认证符《2》。验证时机控制部210从日志存储部50取得与认证符《2》对应的过程日志、xxx日志和yyy日志，从图表管理部60取得认证符《2》。验证时机控制部210向认证符验证部70发送验证请求d47。验证请求d47包含认证符《2》、过程日志、xxx日志和yyy日志。认证符验证部70执行认证符《2》的验证处理，将验证结果d74发送到验证时机控制部210。
148.在攻击进行度12的值从20变化为30的情况下，也与攻击进行度12的值为10和20的情况相同。
149.***实施方式2的效果***
150.在实施方式2的攻击检测装置502中，验证时机控制部210与日志参照请求d14不同步地，根据攻击进行度12使认证符验证部70验证认证符。由此，能够根据攻击的进行度减少在由于日志参照请求d14而验证认证符时产生的、到产生攻击而参照必要的日志为止的时滞。
151.实施方式3
152.参照图15～图20对实施方式3的攻击检测装置503进行说明。
153.图15示出攻击检测装置503的功能要素之间的数据流。如图15所示，认证符生成部90具有中间数据生成部310。此外，攻击检测装置503具有中间数据存储部320。这2点与攻击检测装置501不同。
154.中间数据是生成认证符时的在认证符生成前出现的数据。换言之，中间数据是在经由多个处理生成认证符的情况下在多个处理中的中途处理中生成的数据。
155.图16是示出攻击检测装置503生成认证符的动作的流程图。
156.图17是对图16进行补充的图。
157.参照图16和图17说明攻击检测装置503对认证符的生成动作。
158.(1)在步骤s41中，日志取得部20向日志管理部40发送日志写入请求d24。
159.(2)在步骤s42中，在接收日志写入请求d24后，日志管理部40向图表管理部60发送日志更新通知d46b。
160.(3)在步骤s43中，日志管理部40向图表管理部60发送通过日志写入请求d24而被更新后的日志d46a。
161.(4)在步骤s44中，在接收日志d46a后，图表管理部60向认证符生成部90发送认证符生成请求d69。
162.(5)在步骤s45中，认证符生成部90使用已经生成的认证符的生成时的中间数据，生成表示已经生成的认证符的更新值的新的认证符。认证符生成部90将认证符的中间数据存储于作为中间数据存储装置的中间数据存储部320。具体而言，在接收认证符生成请求d69后，认证符生成部90的中间数据生成部310生成中间数据311和认证符d96。
163.中间数据生成部310在生成认证符d96时，开始根据中间数据存储部320中存储的过去生成的中间数据生成认证符d96。
164.图18示出中间数据生成部310根据过去生成的中间数据生成认证符d96的状态。中间数据生成部310通过使用保持着的中间数据cn-1，在再计算认证符mn*时，能够根据中间数据cn-1进行处理。此外，在图18中，不需要从认证符m1到认证符mn-1的处理。中间数据生成部310在生成了中间数据的情况下，将生成的中间数据存储于中间数据存储部320。
165.(6)在步骤s46中，在生成中间数据311后，在中间数据存储部320中存储中间数据311，对中间数据进行更新。在下次的认证符的生成中使用中间数据存储部320中存储的中间数据311。
166.(7)在步骤s47中，中间数据生成部310将认证符d96发送到图表管理部60。图表管理部60将认证符d96存储于认证符存储部80，对认证符进行更新。
167.图19是示出攻击检测装置503验证认证符的动作的流程图。
168.图20是对图19进行补充的图。
169.参照图19和图20说明攻击检测装置503对认证符的验证动作。
170.(1)在步骤s51中，攻击检测部10向日志管理部40发送日志参照请求d14。
171.(2)在步骤s52中，在接收日志参照请求d14后，日志管理部40向图表管理部60发送认证符询问d46c。
172.(3)在步骤s53中，在接收认证符询问d46c后，图表管理部60向日志管理部40发送认证符d64b。
173.(4)在步骤s54中，在接收认证符d64b后，日志管理部40向认证符验证部70发送验
证请求d47。
174.(5)在步骤s55中，在接收验证请求d47后，认证符验证部70验证认证符。与认证符生成部90同样，如图18中说明的那样，认证符验证部70也能够使用中间数据生成认证符。向认证符验证部70交出日志和验证对象数据的索引。认证符验证部70从接近索引的中间值开始进行验证处理。例如，在索引指示mn，接近索引的中间数据为cn-1的情况下，在从图18的ciphk输出cn-1的时点起再次开始处理。此后的验证处理的内容与步骤s25相同。认证符验证部70向日志管理部40发送验证结果d74。
175.(6)在步骤s56中，在验证结果d74为“成功”的情况下，日志管理部40向攻击检测部10发送日志参照请求d14请求的日志d41。
176.在实施方式3的攻击检测装置503中，认证符生成部90使用中间数据生成认证符，因此，能够缩短在生成认证符产生写入的日志的写入等待时间。在实施方式3的攻击检测装置503中，认证符验证部70也使用中间数据生成认证符，因此，能够缩短在验证认证符时产生写入的日志的写入等待时间。
177.实施方式4
178.参照图21～图24对实施方式4的攻击检测装置504进行说明。
179.图21示出攻击检测装置504中的数据流。攻击检测装置504相对于攻击检测装置501还具有计数器410，该计数器410按照更新请求对计数器值进行更新。
180.在受到使日志存储部500和认证符存储部80回滚的攻击时，很难检测回滚。考虑将日志存储部500和认证符存储部80存储于安全区域，但是，成本非常高。因此，通过计数器410减少回滚攻击的威胁。
181.图22示出在认证符中反映了计数器值的状态。如图22所示，认证符生成部90根据计数器值和日志生成认证符。在图22中，根据计数器值和日志生成认证符。图21的认证符存储部80中的“认证符” 计数器值意味着图22所示的内容。如图21、图22所示，认证符在反映了生成认证符时的计数器410的计数器值的状态下存储于认证符存储部80。在生成认证符的情况下，在生成紧前对计数器410的计数器值进行更新。
182.图23是示出计数器410的计数器值被更新时的动作的流程图。
183.图24是对图23进行补充的图。参照图23和图24说明攻击检测装置503对认证符的验证动作。
184.(1)在步骤s61中，图表管理部60向认证符生成部90发送计数器更新请求d69a。在接收计数器更新请求d69a后，计数器410对计数器值进行更新。
185.(2)在步骤s62中，图表管理部60将请求利用认证符图表d36对应起来的日志的日志请求d64c发送到日志管理部40。
186.(3)在步骤s63中，在接收日志请求d69c后，日志管理部40向图表管理部60发送日志请求d64c请求的日志d46a。
187.(4)在步骤s64中，输出认证符生成请求d69。具体而言，如下所述。
188.组管理部66的日志管理部40将通过更新请求而被更新后的计数器值和特征信息指定的多个日志对应起来进行管理。组管理部66的图表管理部60将包含特征信息指定的多个日志中包含的2个以上的日志和计数器值且请求生成认证符的认证符生成请求d69输出到认证符生成部90。具体而言，图表管理部60在从日志管理部40接收日志d46a后，向认证符
生成部90发送认证符生成请求d69。
189.(5)在步骤s65中，认证符生成部90根据通过更新请求而被更新后的计数器值和日志生成认证符。具体而言，在接收认证符生成请求d69后，认证符生成部90根据日志d46a和计数器值生成认证符d96，将生成的认证符d96发送到图表管理部60。在图22中，示出根据日志d46a和计数器值生成认证符d96的状态。
190.***实施方式4的效果***
191.实施方式4的攻击检测装置504生成反映了计数器值的认证符，因此，能够检测回滚攻击。
192.实施方式5
193.参照图25～图28对实施方式5的攻击检测装置505进行说明。
194.图25示出攻击检测装置505中的数据流。攻击检测装置505的特征在于，日志管理部40向组生成部30发送日志取得频度d43，组生成部30根据日志取得频度d43生成认证符图表d36。
195.组生成部30根据经由对应信息的标识符与认证符对应的日志的更新频度，生成作为对应信息组的认证符图表。
196.图26是表示日志的取得频度的更新频度信息44。日志的取得频度是指日志的更新频度。在图26所示的更新频度信息44中，按照日志的每个类别记载频度。日志管理部40如图26所示得到日志的取得频度。例如，日志管理部40能够根据预先设定的日志取得频度文件，根据从当前起过去n秒的日志计算频度。
197.图27是示出组生成部30根据日志取得频度d43生成认证符图表d36的动作的流程图。
198.图28是对图27进行补充的图。
199.(1)在步骤s71中，日志管理部40向组生成部30发送日志取得频度d43。
200.(2)在步骤s72中，在接收日志取得频度d43后，组生成部30根据日志取得频度d43生成认证符图表d36。组生成部30将生成的认证符图表d36发送到图表管理部60。
201.(3)在步骤s73中，在接收认证符图表d36后，图表管理部60向日志管理部40发送认证符图表d36。
202.(4)在步骤s74中，在接收认证符图表d36后，日志管理部40向图表管理部60送日志d46。
203.(5)在步骤s75中，在接收日志d46后，图表管理部60向认证符生成部90发送认证符生成请求d69。
204.(6)在步骤s76中，在接收认证符生成请求d69后，认证符生成部90生成认证符d96，将其发送到图表管理部60。
205.在实施方式5的攻击检测装置505中，组生成部30根据日志取得频度d43生成认证符图表d36。在实施方式5中，不使更新频度高的日志和更新频度低的日志对应于同一认证符，由此，能够进一步削减认证符的生成时间。
206.以上说明了本发明的实施方式1～实施方式5，但是，也可以组合实施这些实施方式中的2个以上的实施方式。或者，也可以部分地实施这些实施方式中的1个实施方式。或者，也可以部分地组合实施这些实施方式中的2个以上的实施方式。另外，本发明不限于这
些实施方式，能够根据需要进行各种变更。
207.实施方式6
208.作为实施方式6，对攻击检测装置501～攻击检测装置505的硬件进行说明。
209.***结构的说明***
210.图29示出攻击检测装置506的硬件结构。攻击检测装置506包含攻击检测装置501、502、503、504、505的功能要素。攻击检测装置506的说明也适用于攻击检测装置501～攻击检测装置505。参照图29对攻击检测装置506的硬件结构进行说明。
211.攻击检测装置506是计算机。攻击检测装置506具有处理器110。攻击检测装置506除了具有处理器110以外，还具有主存储装置120、辅助存储装置130、输入if140、输出if150和通信if160这样的其他硬件。处理器110经由信号线170与其他硬件连接，对其他硬件进行控制。
212.攻击检测装置506具有攻击检测部10、日志取得部20、组生成部30、日志管理部40、图表管理部60、认证符验证部70、认证符生成部90、验证时机控制部210和计数器410作为功能要素。攻击检测部10、日志取得部20、组生成部30、日志管理部40、图表管理部60、认证符验证部70、认证符生成部90、验证时机控制部210和计数器410的功能通过攻击检测程序507实现。攻击检测程序507存储于辅助存储装置130。
213.处理器110是执行攻击检测程序507的装置。攻击检测程序507是实现攻击检测部10、日志取得部20、组生成部30、日志管理部40、图表管理部60、认证符验证部70、认证符生成部90、验证时机控制部210和计数器410的功能的程序。处理器110是进行运算处理的ic(integrated circuit：集成电路)。处理器110的具体例是cpu(central processing unit：中央处理单元)、dsp(digital signal processor：数字信号处理器)、gpu(graphics processing unit：图形处理单元)。
214.主存储装置120是存储装置。主存储装置120的具体例是sram(static random access memory：静态随机存取存储器)、dram(dynamic random access memory：动态随机存取存储器)。主存储装置120保持处理器110的运算结果。
215.辅助存储装置130是非易失地保管数据的存储装置。辅助存储装置130的具体例是hdd(hard disk drive：硬盘驱动器)。此外，辅助存储装置130也可以是sd(注册商标)(secure digital：安全数字)存储卡、nand闪存、软盘、光盘、高密度盘、蓝光(注册商标)盘、dvd(digital versatile disk：数字多功能盘)这样的移动记录介质。辅助存储装置130实现日志存储部50、认证符存储部80和中间数据存储部320。
216.输入if140是从各装置输入数据的端口。输出if150是与各种设备连接且通过处理器110向各种设备输出数据的端口。通信if160是用于供处理器与其他装置进行通信的通信端口。
217.处理器110将攻击检测程序507从辅助存储装置130载入到主存储装置120，从主存储装置120读入并执行攻击检测程序507。在主存储装置120中，不仅存储有攻击检测程序507，还存储有os(operating system：操作系统)。处理器110一边执行os，一边执行攻击检测程序507。攻击检测装置506也可以具有代替处理器110的多个处理器。这些多个处理器分担执行攻击检测程序507。与处理器110同样，各个处理器是执行攻击检测程序507的装置。由攻击检测程序507利用、处理或输出的数据、信息、信号值和变量值存储于主存储装置
120、辅助存储装置130或处理器110内的寄存器或高速缓冲存储器。
218.攻击检测程序507是使计算机执行将攻击检测部10、日志取得部20、组生成部30、日志管理部40、图表管理部60、认证符验证部70、认证符生成部90、验证时机控制部210的“部”改写成“处理”、“顺序”或“工序”的各处理、各顺序或各工序的程序。
219.此外，攻击检测方法是作为计算机的攻击检测装置506执行攻击检测程序507而实现的方法。攻击检测程序507可以存储于计算机能读取的记录介质来提供，也可以作为程序产品来提供。
220.《硬件结构的补充》
221.在图29的攻击检测装置506中，攻击检测装置506的功能通过软件实现，但是，攻击检测装置506的功能也可以通过硬件实现。
222.图30示出攻击检测装置506的功能通过硬件实现的结构。图30的电子电路700是实现攻击检测装置506的攻击检测部10、日志取得部20、组生成部30、日志管理部40、图表管理部60、认证符验证部70、认证符生成部90、验证时机控制部210、计数器410、日志存储部50、认证符存储部80和中间数据存储部320的功能的专用的电子电路。电子电路700与信号线710连接。具体而言，电子电路700是单一电路、复合电路、程序化的处理器、并行程序化的处理器、逻辑ic、ga、asic或fpga。ga是gate array(门阵列)的简称。asic是application specific integrated circuit(专用集成电路)的简称。fpga是field-programmable gate array(现场可编程门阵列)的简称。攻击检测装置506的结构要素的功能可以通过1个电子电路实现，也可以分散于多个电子电路来实现。此外，也可以是，攻击检测装置506的结构要素的一部分功能通过电子电路实现，其余功能通过软件实现。
223.处理器110和电子电路700分别被称作处理线路。在攻击检测装置506中，攻击检测部10、日志取得部20、组生成部30、日志管理部40、图表管理部60、认证符验证部70、认证符生成部90、验证时机控制部210、计数器410、日志存储部50、认证符存储部80和中间数据存储部320的功能也可以通过处理线路实现。
224.标号说明
225.10：攻击检测部；11、11a：攻击检测信息；11-1、11-2、11-3：攻击检测规则；12：攻击进行度；13：攻击方式信息；20：日志取得部；30：组生成部；31：标识符图表；40：日志管理部；50：日志存储部；51：日志数据库；60：图表管理部；66：组管理部；70：认证符验证部；80：认证符存储部；90：认证符生成部；110：处理器；120：主存储装置；130：辅助存储装置；140：输入if；150：输出if；160：通信if；170：信号线；210：验证时机控制部；310：中间数据生成部；311：中间数据；320：中间数据存储部；410：计数器；501、502、503、504、505、506：攻击检测装置；507：攻击检测程序；601：认证密钥；602：中间数据保护密钥；700：电子电路；710：信号线；d14：日志参照请求；d13：检测信息更新通知；d24：日志写入请求；d36、d36a：认证符图表；d41：日志；d46a：日志；d46b：日志更新通知；d46c：认证符询问；d47：验证请求；d43：日志取得频度；d64a：关联的认证符图表；d64b：认证符；d64c：日志请求；d69：认证符生成请求；d69a：计数器更新请求；d74：验证结果；d96：认证符。