Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6476143B2 - Anomaly detection device, anomaly detection system, anomaly detection method, and program - Google Patents
[go: Go Back, main page]

JP6476143B2 - Anomaly detection device, anomaly detection system, anomaly detection method, and program - Google Patents

Anomaly detection device, anomaly detection system, anomaly detection method, and program Download PDF

Info

Publication number
JP6476143B2
JP6476143B2 JP2016017960A JP2016017960A JP6476143B2 JP 6476143 B2 JP6476143 B2 JP 6476143B2 JP 2016017960 A JP2016017960 A JP 2016017960A JP 2016017960 A JP2016017960 A JP 2016017960A JP 6476143 B2 JP6476143 B2 JP 6476143B2
Authority
JP
Japan
Prior art keywords
terminal
distribution model
communication
unit
characteristic value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016017960A
Other languages
Japanese (ja)
Other versions
JP2017139558A (en
Inventor
信博 東
信博 東
椿 俊光
俊光 椿
正夫 相原
正夫 相原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Inc
NTT Inc USA
Original Assignee
Nippon Telegraph and Telephone Corp
NTT Inc USA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, NTT Inc USA filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2016017960A priority Critical patent/JP6476143B2/en
Publication of JP2017139558A publication Critical patent/JP2017139558A/en
Application granted granted Critical
Publication of JP6476143B2 publication Critical patent/JP6476143B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、異常検知装置、異常検知システム、異常検知方法、及びプログラムに関する。   The present invention relates to an abnormality detection device, an abnormality detection system, an abnormality detection method, and a program.

ネットワークに接続する端末は近年多様化しており、例えば、いわゆるM2M(Machine-to-Machine)端末と呼ばれるひずみセンサやロボットアーム等のアクチュエータ等、これまでネットワークに繋がっていなかったものがネットワークに接続されるようになっている。我々が普段利用するコンピュータやスマートフォン等と比較したM2M端末の特徴として、(1)ネットワークを介して遠隔で操作/情報取得を行うこと、(2)端末自身にヒューマンインタフェース(ディスプレイ、キーボード等)が具備されていないこと、(3)サービス実現のために同一端末が大量に設置される場合があること、の3点が挙げられる。   Terminals connected to the network have been diversified in recent years. For example, so-called M2M (Machine-to-Machine) terminals called strain sensors and actuators such as robot arms have been connected to the network until now. It has become so. The features of the M2M terminal compared to the computers and smartphones we normally use are as follows: (1) Remote operation / information acquisition via the network, (2) Human interface (display, keyboard, etc.) on the terminal itself There are three points, that it is not provided, and (3) that a large number of the same terminals may be installed for realizing the service.

M2M端末は、利用者の目の届かない所に設置されることが考えられるため、端末の持ち去り、故障等の発生を遠隔で検知する仕組みが必要となる。また、正規の端末になりすました端末の接続検知も同様に必要となる。   Since it is conceivable that the M2M terminal is installed in a place out of the eyes of the user, a mechanism for remotely detecting the removal of the terminal, the occurrence of a failure or the like is necessary. In addition, connection detection of a terminal impersonating a regular terminal is also required.

なお、従来において、電子メールクライアントの多くには、送られてきた電子メールが受信者に無関係な迷惑メールであるかどうかを判定する、スパムメールフィルタリング技術が実装されている(例えば、非特許文献1)。   Conventionally, many e-mail clients have implemented a spam mail filtering technique for determining whether a sent e-mail is a junk mail unrelated to the recipient (for example, non-patent literature). 1).

このようなフィルタリングにおいては、受信者宛の電子メールの内容を解析し、メール本文に含まれる単語等の出現頻度をもとに、本当に受信者宛のものかどうか判断し、判断結果をもとに、「迷惑メール」ラベルを付与するなどの処理が実施されている。   In such filtering, the contents of the e-mail addressed to the recipient are analyzed, and whether or not the e-mail is actually destined for the recipient is determined based on the appearance frequency of the word or the like included in the mail body. In addition, a process of giving a “spam mail” label is performed.

受信者は、そのメールが迷惑メールかどうかを判断し、メールクライアントの判断が誤っていれば、「迷惑メール」ラベルの削除、あるいは付与等を行う。   The recipient determines whether the email is spam or not, and if the email client makes a mistake, deletes or adds the “spam email” label.

この方式の特徴として、受信者の判断結果をもとにフィルタが更新されていくことが挙げられる。メール受信の度にフィルタによる判定と受信者によるフィードバックが行われるため、はじめは誤判定が多くとも、回数を重ねるうちに判定精度の向上が期待できる。   A feature of this method is that the filter is updated based on the determination result of the recipient. Since the determination by the filter and the feedback by the recipient are performed each time the mail is received, at the beginning, even if there are many erroneous determinations, improvement in determination accuracy can be expected as the number of times is increased.

事前設定された閾値による判定のみではなく、このような学習を行う理由は、受信者が受け取るメールの内容は、受信者や利用方法により大きく異なることが想定されるためである。はじめは受信者についての知識が無くとも、学習により、受信者にとって適切な判別を行えるようになる。   The reason for performing such learning as well as the determination based on the preset threshold value is that the content of the mail received by the recipient is assumed to vary greatly depending on the recipient and the usage method. At first, even if there is no knowledge about the receiver, the learning makes it possible to make an appropriate determination for the receiver.

また、リスクベース認証は、サービスへのアクセスが通常とは異なる環境から行われた場合、追加認証(ワンタイムパスワード、秘密の質問等)を実施するものである(例えば、非特許文献2)。   Further, risk-based authentication performs additional authentication (one-time password, secret question, etc.) when access to a service is performed from an environment different from normal (for example, Non-Patent Document 2).

これは、主にWebサービスのログインに用いられている技術であり、ユーザのログイン時にサービス提供事業者が取得できるユーザ情報、例えば、接続元のIPアドレスや接続時間帯、ブラウザのUser−Agent情報、接続元デバイスなどの履歴をサービス提供事業者側で蓄積しておき、この過去のユーザ情報と照らし合わせ、ログイン時にこれまでの接続環境と異なる場合(例えば、普段は日本からアクセスしているユーザが海外からアクセスしてくるなど)は、不正なログインを疑い、より強力な認証(ユーザに対して、使い捨てのワンタイムパスワードを記載したメールを別途送信し、このワンタイムパスワードを用いた認証を行う等)を実施するものである。   This is a technique mainly used for login of a Web service, and user information that can be acquired by a service provider when a user logs in, for example, a connection source IP address and a connection time zone, and a browser User-Agent information. If the connection provider device's history is accumulated on the service provider side and compared with the past user information, it may differ from the previous connection environment when logging in (for example, users who normally access from Japan) Suspected fraudulent login, stronger authentication (send a one-time password with a disposable one-time password to the user, and authenticate using this one-time password) Etc.).

本技術により、普段の利用環境では単純なID/パスワード認証のみ実施し、不正ログインのリスクが高いと推定されるログインに対してはより強力な(手間のかかる)認証を実施することができる。これによりユーザの利便性を損なわずにセキュリティを高めることができる。   With this technology, only simple ID / password authentication can be performed in a normal usage environment, and stronger (and time-consuming) authentication can be performed for a login that is estimated to have a high risk of unauthorized login. Thereby, security can be improved without impairing user convenience.

Paul Graham、"スパムへの対策---A Plan for Spam"、[online]、August 2002、インターネット<URL:http://practical-scheme.net/trans/spam-j.html>Paul Graham, "Countermeasures against spam --- A Plan for Spam", [online], August 2002, Internet <URL: http://practical-scheme.net/trans/spam-j.html> "ベリサイン、「ワンタイムパスワード認証」と「リスクベース認証」を手軽に利用できる「Symantec(tm) Validation & ID Protection」の提供を開始"、インターネット<https://www.jp.websecurity.symantec.com/press/2011/pr_20111116.html>“VeriSign Launches“ Symantec (tm) Validation & ID Protection ”for Easy Use of“ One-Time Password Authentication ”and“ Risk-Based Authentication ””, Internet <https://www.jp.websecurity.symantec. com / press / 2011 / pr_20111116.html>

M2M端末の異常検知を行うために、端末を収容するGW(Gateway)装置が端末の通信特性値(データ量、通信間隔等)を取得し、その値が予め設定された閾値を超えた場合に異常と判定することが考えられる。   In order to detect an abnormality of the M2M terminal, when a GW (Gateway) device that accommodates the terminal acquires a communication characteristic value (data amount, communication interval, etc.) of the terminal and the value exceeds a preset threshold value It is conceivable to determine that it is abnormal.

このとき、閾値の設定は、端末を利用してサービスを提供するサービス提供事業者により行われる。これは、端末の通信特性がサービスによりある程度規定されるため、サービス提供事業者であれば適切な閾値を設定可能であると考えられるためである。   At this time, the threshold is set by a service provider that provides a service using a terminal. This is because the communication characteristics of the terminal are prescribed to some extent by the service, and it is considered that an appropriate threshold can be set by a service provider.

しかしながら、実際には、サービス毎の適切な閾値を求めることは難しく、特に高精度な異常検知を実現しようとする場合、サービス提供事業者にとっては、閾値の設定が負担になると考えられる。   However, in practice, it is difficult to obtain an appropriate threshold value for each service, and it is considered that the setting of the threshold value is a burden for the service provider particularly when trying to realize highly accurate abnormality detection.

サービス提供事業者による閾値設定の負担を軽減する方法として、学習による閾値の自動更新の導入が挙げられる。これは、過去の端末の通信をもとに、端末が取りうる通信特性の分布モデル(通信モデル)を作成し、そのモデルから大きくはずれるものについては異常とみなすものである。学習による方法の利点として、先述の適切な閾値設定が自動的に行われるため、サービス提供事業者の負担を減らせる事が挙げられる。その一方、課題として、実際に閾値設定を適切に行うためには、十分な量の正規端末の通信情報をもとにしたモデルの精緻化が必要となり、加えて、ネットワーク内の装置における学習のための処理量増加が負担となる。例えば、端末の全ての通信を逐次1か所に集約し、学習を行い、判別を行う方式は、大量の端末の接続が想定されるM2Mサービスにとって、スケーラビリティの観点から問題となる。   As a method of reducing the burden of threshold setting by the service provider, introduction of automatic threshold updating by learning can be mentioned. This creates a distribution model (communication model) of communication characteristics that can be taken by a terminal based on past communication with the terminal, and regards anything that deviates greatly from the model as abnormal. The advantage of the learning method is that the above-mentioned appropriate threshold setting is automatically performed, so that the burden on the service provider can be reduced. On the other hand, as a problem, in order to actually set the threshold appropriately, it is necessary to refine the model based on a sufficient amount of communication information of regular terminals, and in addition, learning of devices in the network Therefore, an increase in the processing amount is a burden. For example, a method in which all communication of terminals is sequentially gathered in one place, learning, and determination is a problem from the viewpoint of scalability for an M2M service in which a large number of terminals are assumed to be connected.

以上のように、同様な通信特性を持つ大量のM2M端末が接続されるようなネットワークにおいて、閾値による異常検知を用いる際、サービス提供事業者の負担軽減の観点で、学習による閾値の自動更新の導入が考えられるが、精度の高い閾値決定のためには、端末の通信モデルの学習によるネットワーク内装置の処理負荷が大きく、スケーラビリティの観点で課題があった。   As described above, when using anomaly detection based on a threshold in a network in which a large number of M2M terminals having similar communication characteristics are connected, automatic updating of the threshold by learning is performed from the viewpoint of reducing the burden on the service provider. Although introduction is conceivable, in order to determine a threshold with high accuracy, the processing load on the devices in the network due to learning of the communication model of the terminal is large, and there is a problem in terms of scalability.

本発明は、上記の点に鑑みてなされたものであって、ネットワークに接続される端末の異常検知の効率性を向上させることを目的とする。   The present invention has been made in view of the above points, and an object thereof is to improve the efficiency of detecting an abnormality of a terminal connected to a network.

そこで上記課題を解決するため、ネットワークを介して接続される端末の異常を検知する異常検知装置は、端末との通信に関する特性値を取得する取得部と、前記取得部によって前記特性値が取得されるたびに、複数のタイミングでの端末との通信に関して取得された特性値の履歴に基づいて、前記特性値の分布モデルを生成する生成部と、所定の間隔ごとに、前記生成部が生成した分布モデルを、ネットワークを介して接続される集約装置に送信する送信部と、前記送信部によって送信された分布モデルと、当該異常検知装置には接続されていない端末に関する前記分布モデルとに基づいて前記集約装置が生成した前記特性値の分布モデルを受信する受信部と、前記受信部によって受信された分布モデルと、当該分布モデルが受信された後の端末との通信に関する特性値との比較に基づいて、ネットワークを介して接続される端末の異常を検知する検知部と、を有し、前記所定の間隔は、前記集約装置が生成する前記分布モデルの収束に応じて長くなる

In order to solve the above problem, an abnormality detection device that detects an abnormality of a terminal connected via a network has an acquisition unit that acquires a characteristic value related to communication with the terminal, and the acquisition unit acquires the characteristic value. Each time, based on the history of characteristic values acquired with respect to communication with the terminal at a plurality of timings, a generation unit that generates the distribution model of the characteristic values, and the generation unit generated at every predetermined interval the distribution model, a transmission unit for transmitting to the aggregation device connected via a network, said a the distribution model transmitted by the transmitting unit, the abnormality detection before Symbol distribution model about the terminal that is not connected to the device A receiving unit that receives the distribution model of the characteristic value generated by the aggregation device based on the distribution model, a distribution model received by the receiving unit, and after the distribution model is received Based on the comparison between the characteristic value for communication with the terminal, the distribution model possess a detection unit for detecting an abnormality of the terminal via a network, wherein the predetermined interval is said aggregation device generates Lengthens with convergence .

ネットワークに接続される端末の異常検知の効率性を向上させることができる。   It is possible to improve the efficiency of detecting an abnormality of a terminal connected to the network.

本発明の実施の形態における異常検知システムの構成例を示す図である。It is a figure which shows the structural example of the abnormality detection system in embodiment of this invention. 本発明の実施の形態におけるGWのハードウェア構成例を示す図である。It is a figure which shows the hardware structural example of GW in embodiment of this invention. 学習フェーズにおける処理手順の一例を説明するためのシーケンス図である。It is a sequence diagram for demonstrating an example of the process sequence in a learning phase. 異常検知フェーズにおける処理手順の一例を説明するためのシーケンス図である。It is a sequence diagram for demonstrating an example of the process sequence in an abnormality detection phase. 通信モデル情報の標準誤差の収束状況と送信間隔との関係を示す図である。It is a figure which shows the relationship between the convergence condition of the standard error of communication model information, and a transmission interval.

以下、図面に基づいて本発明の実施の形態を説明する。図1は、本発明の実施の形態における異常検知システムの構成例を示す図である。図1において、異常検知システム1は、集約エンティティ(以下、「PF(Platform)20」という。)と、分散配備された複数の端末収容装置(以下、「GW10(Gateway)」という。)とを含む。PF20は、複数のGW10とネットワークを介して接続される。また、各GW10は、それぞれ複数の端末とネットワーク(例えば、無線回線)を介して接続される。   Hereinafter, embodiments of the present invention will be described with reference to the drawings. FIG. 1 is a diagram illustrating a configuration example of an abnormality detection system according to an embodiment of the present invention. In FIG. 1, the anomaly detection system 1 includes an aggregation entity (hereinafter referred to as “PF (Platform) 20”) and a plurality of terminal accommodation devices (hereinafter referred to as “GW 10 (Gateway)”) that are distributed. Including. The PF 20 is connected to a plurality of GWs 10 via a network. Each GW 10 is connected to a plurality of terminals via a network (for example, a wireless line).

端末は、例えば、M2M(Machine-to-Machine)端末である。各端末は、地理的に分散されて配置され、いずれかのサービスに利用されるデータ(例えば、計測値等)を、当該端末を収容するGWに送信する。なお、各端末は、いずれか一つのGW10に収容される。換言すれば、各GW10は、それぞれ相互に異なる端末に接続される。また、図1に示される全部の端末が、同じサービスに利用されてもよいし、異なるサービスに利用される端末が混在していてもよい。但し、同じサービスに利用される端末が、複数のGW10に接続されるのが望ましい。なお、サービスとは、端末を利用して提供されるサービスをいう。   The terminal is, for example, an M2M (Machine-to-Machine) terminal. Each terminal is geographically distributed and transmits data (for example, measurement values) used for any service to a GW that accommodates the terminal. Each terminal is accommodated in any one GW 10. In other words, each GW 10 is connected to a different terminal. Moreover, all the terminals shown in FIG. 1 may be used for the same service, or terminals used for different services may be mixed. However, it is desirable that terminals used for the same service are connected to a plurality of GWs 10. A service refers to a service provided using a terminal.

各GW10は、ネットワークを介して複数の端末を収容する装置(例えば、コンピュータ)である。図1において、GW10は、端末収容部11、通信特性取得部12、分散学習部13、分散情報送信部14、集約情報受信部15、及び通信制御部16等を有する。これら各部は、GW10にインストールされた1以上のプログラムが、GW10のCPUに実行させる処理により実現される。GW10は、また、分散情報記憶部17及び比較情報記憶部18等を利用する。これら各記憶部は、例えば、GW10の補助記憶装置等を用いて実現可能である。   Each GW 10 is a device (for example, a computer) that accommodates a plurality of terminals via a network. In FIG. 1, the GW 10 includes a terminal accommodating unit 11, a communication characteristic obtaining unit 12, a distributed learning unit 13, a distributed information transmitting unit 14, an aggregate information receiving unit 15, a communication control unit 16, and the like. Each of these units is realized by processing that one or more programs installed in the GW 10 cause the CPU of the GW 10 to execute. The GW 10 also uses the distributed information storage unit 17 and the comparison information storage unit 18. Each of these storage units can be realized using, for example, an auxiliary storage device of the GW 10 or the like.

端末収容部11は、端末との通信(例えば、無線通信)を終端する。通信特性取得部12は、各端末収容部11による端末との通信を監視して、各端末のデータ通信における通信特性を示す情報(以下、「通信特性値」という。)を取得する。通信特性取得部12は、取得した通信特性値を、サービスごとに分散情報記憶部17に記憶する。例えば、サービスが共通する複数の端末から取得された通信特性値の履歴は、共通のテーブルに記憶される。通信特性値は、例えば、トラヒックパターン(通信間隔)、平均パケット長、通信頻度、通信量等である。または、送信されるデータの中身(計測値等)が、通信特性値とされてもよい。なお、本実施の形態では、少なくとも同じサービスに利用される端末の通信特性値は、同様のものであるとする。   The terminal accommodating unit 11 terminates communication (for example, wireless communication) with the terminal. The communication characteristic acquisition unit 12 monitors communication with each terminal by each terminal accommodating unit 11 and acquires information indicating communication characteristics in data communication of each terminal (hereinafter referred to as “communication characteristic value”). The communication characteristic acquisition unit 12 stores the acquired communication characteristic value in the distributed information storage unit 17 for each service. For example, the history of communication characteristic values acquired from a plurality of terminals having a common service is stored in a common table. The communication characteristic value is, for example, a traffic pattern (communication interval), an average packet length, a communication frequency, a communication amount, or the like. Or the content (measurement value etc.) of the data transmitted may be made into a communication characteristic value. In the present embodiment, it is assumed that the communication characteristic values of terminals used for at least the same service are the same.

分散学習部13は、通信特性取得部12によって複数のタイミングにおいて取得された通信特性値に基づいて、通信特性値の分布モデルを示す情報(以下、「通信モデル情報」という。)をサービスごとに生成する。サービスごとに生成された通信モデル情報は、分散情報記憶部17に記憶される。本実施の形態において、通信モデル情報は、通信特性値の分布を特徴付ける(特定又は規定する)パラメータである。例えば、当該分布が正規分布N(μ,σ)に従うのであれば、平均μ、分散σ、及び当該分布を形成する通信特性値の数n等が、通信モデル情報に相当する。 Based on the communication characteristic values acquired at a plurality of timings by the communication characteristic acquisition unit 12, the distributed learning unit 13 sets information (hereinafter referred to as “communication model information”) indicating a distribution model of communication characteristic values for each service. Generate. Communication model information generated for each service is stored in the distributed information storage unit 17. In the present embodiment, the communication model information is a parameter that characterizes (identifies or defines) the distribution of communication characteristic values. For example, if the distribution follows the normal distribution N (μ, σ 2 ), the average μ, the variance σ 2 , the number n of communication characteristic values forming the distribution, and the like correspond to the communication model information.

分散情報送信部14は、分散情報記憶部17に記憶されている情報(以下、「分散情報」という。)を、例えば、一定周期ごとに、PF20に送信する。   The shared information transmission unit 14 transmits the information stored in the shared information storage unit 17 (hereinafter referred to as “shared information”) to the PF 20 at regular intervals, for example.

集約情報受信部15は、PF20が、各GW10から送信された分散情報に含まれている通信特性値又は通信モデル情報を、サービスごとに統合することでPF20が生成した通信モデル情報を、PF20から受信する。集約情報受信部15は、受信した通信モデル情報を、比較情報記憶部18に記憶する。比較情報記憶部18には、端末の異常検知に利用される通信モデル情報が記憶される。   The aggregate information receiving unit 15 receives the communication model information generated by the PF 20 from the PF 20 by integrating the communication characteristic values or the communication model information included in the distributed information transmitted from each GW 10 for each service. Receive. The aggregate information receiving unit 15 stores the received communication model information in the comparison information storage unit 18. The comparison information storage unit 18 stores communication model information used for detecting an abnormality of the terminal.

通信制御部16は、比較情報記憶部18に記憶された通信モデル情報と、当該通信モデル情報の受信の後に取得される通信特性値とを比較することで、異常な端末を検知し、当該端末について通信遮断等を行う。異常な端末とは、例えば、故障等が発生している端末、又は不正な端末(例えば、正規に成りすました端末)である。

一方、PF20は、分散情報受信部21、集約学習部22、集約情報送信部23、及び端末情報管理部24等を有する。これら各部は、PF20にインストールされた1以上のプログラムが、PF20のCPUに実行させる処理により実現される。PF20は、また、集約情報記憶部25及び端末情報記憶部26を利用する。これら各記憶部は、例えば、PF20の補助記憶装置等を用いて実現可能である。
The communication control unit 16 detects an abnormal terminal by comparing the communication model information stored in the comparison information storage unit 18 and a communication characteristic value acquired after receiving the communication model information, and detects the terminal The communication is cut off. An abnormal terminal is, for example, a terminal in which a failure or the like has occurred, or an unauthorized terminal (for example, a terminal that has been legitimately formed).

On the other hand, the PF 20 includes a distributed information receiving unit 21, an aggregate learning unit 22, an aggregate information transmitting unit 23, a terminal information managing unit 24, and the like. Each of these units is realized by processing that one or more programs installed in the PF 20 cause the CPU of the PF 20 to execute. The PF 20 also uses the aggregate information storage unit 25 and the terminal information storage unit 26. Each of these storage units can be realized using, for example, an auxiliary storage device of the PF 20 or the like.

分散情報受信部21は、各GW10から送信される分散情報を受信する。集約学習部22は、分散情報受信部21によって受信された分散情報に含まれている通信特性値が、GW10を跨いでサービス単位で集約又は統合された、サービス毎の通信特性値に基づいて、複数のGW10に跨いだサービス毎の通信モデル情報を生成する。生成された通信モデル情報は、集約情報記憶部25に記憶される。   The shared information receiving unit 21 receives shared information transmitted from each GW 10. The aggregation learning unit 22 is based on the communication characteristic values for each service in which the communication characteristic values included in the distributed information received by the distributed information receiving unit 21 are aggregated or integrated in units of services across the GW 10. Communication model information for each service straddling a plurality of GWs 10 is generated. The generated communication model information is stored in the aggregate information storage unit 25.

集約情報送信部23は、集約学習部22によって生成されたサービス毎の通信モデル情報を、各GW10に送信する。端末情報管理部24は、各端末の属性情報を記憶した端末情報記憶部26に記憶されている端末情報を管理する。端末情報は、例えば、端末を利用したサービスを提供するサービス提供事業者によって登録される。   The aggregate information transmission unit 23 transmits the communication model information for each service generated by the aggregate learning unit 22 to each GW 10. The terminal information management unit 24 manages terminal information stored in a terminal information storage unit 26 that stores attribute information of each terminal. The terminal information is registered by, for example, a service provider that provides a service using the terminal.

図2は、本発明の実施の形態におけるGWのハードウェア構成例を示す図である。図2のGW10は、それぞれバスBで相互に接続されているドライブ装置100、補助記憶装置102、メモリ装置103、CPU104、及びインタフェース装置105等を有する。   FIG. 2 is a diagram illustrating a hardware configuration example of the GW according to the embodiment of the present invention. The GW 10 in FIG. 2 includes a drive device 100, an auxiliary storage device 102, a memory device 103, a CPU 104, an interface device 105, and the like that are mutually connected by a bus B.

GW10での処理を実現するプログラムは、CD−ROM等の記録媒体101によって提供される。プログラムを記憶した記録媒体101がドライブ装置100にセットされると、プログラムが記録媒体101からドライブ装置100を介して補助記憶装置102にインストールされる。但し、プログラムのインストールは必ずしも記録媒体101より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置102は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。 メモリ装置103は、プログラムの起動指示があった場合に、補助記憶装置102からプログラムを読み出して格納する。CPU104は、メモリ装置103に格納されたプログラムに従ってGW10に係る機能を実行する。インタフェース装置105は、ネットワークに接続するためのインタフェースとして用いられる。100〜105の各装置は、それぞれ複数個有してもよい。   A program that realizes processing in the GW 10 is provided by a recording medium 101 such as a CD-ROM. When the recording medium 101 storing the program is set in the drive device 100, the program is installed from the recording medium 101 to the auxiliary storage device 102 via the drive device 100. However, the program need not be installed from the recording medium 101 and may be downloaded from another computer via a network. The auxiliary storage device 102 stores the installed program and also stores necessary files and data. The memory device 103 reads the program from the auxiliary storage device 102 and stores it when there is an instruction to start the program. The CPU 104 executes a function related to the GW 10 in accordance with a program stored in the memory device 103. The interface device 105 is used as an interface for connecting to a network. Each of the devices 100 to 105 may have a plurality.

なお、PF20も図2に示されるようなハードウェア構成を有していてもよい。   The PF 20 may also have a hardware configuration as shown in FIG.

以下、異常検知システム1において実行される処理手順について説明する。当該処理手順は、学習フェーズと異常検知フェーズとの2段階のフェーズに分類される。学習フェーズは、通知特定値に基づいて通信モデル情報を学習するフェーズである。異常検知フェーズは、学習された通信モデル情報に基づいて、異常検知を行うフェーズである。   Hereinafter, a processing procedure executed in the abnormality detection system 1 will be described. The processing procedure is classified into two phases, a learning phase and an abnormality detection phase. The learning phase is a phase in which the communication model information is learned based on the notification specific value. The abnormality detection phase is a phase in which abnormality detection is performed based on learned communication model information.

図3は、学習フェーズにおける処理手順の一例を説明するためのシーケンス図である。ステップS101〜S103は、端末ごとに、設置後の通信の開始時等に実行される。   FIG. 3 is a sequence diagram for explaining an example of a processing procedure in the learning phase. Steps S101 to S103 are executed for each terminal at the start of communication after installation.

或る端末(以下、「対象端末」という。)が、GW10の端末収容部11に接続して通信を開始すると(S101)、GW10の集約情報受信部15は、PF20の端末情報管理部24に対して、サービスの解決要求を送信する(S102)。サービスの解決とは、対象端末が対応するサービスを明確にすることをいう。サービスの解決要求には、対象端末の識別子(以下、「端末ID」という。)が含まれる。なお、端末IDは、例えば、ステップS101において対象端末から送信されるメッセージに含まれている。端末IDの一例として、端末の物理アドレスが挙げられる。   When a certain terminal (hereinafter referred to as “target terminal”) connects to the terminal accommodating unit 11 of the GW 10 and starts communication (S101), the aggregated information receiving unit 15 of the GW 10 sends the terminal information managing unit 24 of the PF 20 to the terminal information managing unit 24. In response, a service resolution request is transmitted (S102). Service resolution refers to clarifying the service supported by the target terminal. The service resolution request includes the identifier of the target terminal (hereinafter referred to as “terminal ID”). Note that the terminal ID is included in the message transmitted from the target terminal in step S101, for example. An example of the terminal ID is a physical address of the terminal.

PF20の端末情報管理部24は、当該解決要求を受信すると、当該解決要求に含まれている端末IDに対応付けられて端末情報記憶部26に記憶されているサービスIDを取得する。すなわち、端末情報記憶部26には、各端末IDに対して、それぞれの端末が対応するサービスのサービスIDが対応付けられて記憶されている。サービスIDは、サービスごとの識別情報である。   When receiving the resolution request, the terminal information management unit 24 of the PF 20 acquires a service ID stored in the terminal information storage unit 26 in association with the terminal ID included in the resolution request. That is, the terminal information storage unit 26 stores the service ID of the service corresponding to each terminal in association with each terminal ID. The service ID is identification information for each service.

続いて、端末情報管理部24は、取得されたサービスIDに対応する通信モデル情報及び送信周期が集約情報記憶部25に記憶されているか否かを判定する。該当する通信モデル情報及び送信周期が集約情報記憶部25に記憶されている場合、当該通信モデル情報及び当該送信周期が取得される。なお、送信周期は、後述されるステップS116においてGW10に送信される送信周期と同義である。   Subsequently, the terminal information management unit 24 determines whether or not the communication model information and the transmission cycle corresponding to the acquired service ID are stored in the aggregate information storage unit 25. When the corresponding communication model information and transmission cycle are stored in the aggregate information storage unit 25, the communication model information and the transmission cycle are acquired. The transmission cycle is synonymous with the transmission cycle transmitted to the GW 10 in step S116 described later.

続いて、端末情報管理部24は、サービスの解決結果(対象端末が対応するサービス(以下、「対象サービス」という。)のサービスID)を含む応答を、GW10に送信する(S103)。当該サービスIDに対応する通信モデル情報及び送信周期が集約情報記憶部25に記憶されていれば、サービスの解決結果に加え、当該通信モデル情報及び当該送信周期も当該応答に含まれる。   Subsequently, the terminal information management unit 24 transmits a response including a service resolution result (a service ID of a service corresponding to the target terminal (hereinafter referred to as “target service”)) to the GW 10 (S103). If the communication model information and the transmission cycle corresponding to the service ID are stored in the aggregate information storage unit 25, the communication model information and the transmission cycle are included in the response in addition to the service resolution result.

GW10の集約情報受信部15は、PF20から送信された応答に通信モデル情報及び送信間隔が含まれている場合、当該通信モデル情報及び当該送信間隔を、当該応答に含まれているサービスIDに対応付けて、比較情報記憶部18に記憶する(S104)。既に当該サービスIDに対応付けられて比較情報記憶部18に記憶されている通信モデル情報等が有る場合、当該通信モデル情報等は、新たに受信された通信モデル情報等によって上書きされる。集約情報受信部15は、また、対象端末の端末IDを、対象サービスのサービスIDに対応付けて、例えば、補助記憶装置102に記憶する。   When the communication model information and the transmission interval are included in the response transmitted from the PF 20, the aggregate information receiving unit 15 of the GW 10 corresponds to the service ID included in the response in the communication model information and the transmission interval. In addition, it is stored in the comparison information storage unit 18 (S104). If there is communication model information or the like already associated with the service ID and stored in the comparison information storage unit 18, the communication model information or the like is overwritten by the newly received communication model information or the like. The aggregate information receiving unit 15 also stores the terminal ID of the target terminal in the auxiliary storage device 102 in association with the service ID of the target service, for example.

続いて、GW10は、対象サービスに関して、処理フェーズを異常検知フェーズに移行する(S200)。すなわち、各GW10における処理フェーズは、サービスごとに区別される。   Subsequently, the GW 10 shifts the processing phase to the abnormality detection phase for the target service (S200). That is, the processing phase in each GW 10 is distinguished for each service.

一方、PF20から送信された応答に通信モデル情報等が含まれていない場合、ステップS111〜S117の実行後に、異常検知フェーズ(S200)が実行される。   On the other hand, when the communication model information or the like is not included in the response transmitted from the PF 20, the abnormality detection phase (S200) is executed after the execution of steps S111 to S117.

ステップS111において、対象端末が、データ(例えば、計測値等)をGW10に送信すると(S105)、通信特性取得部12は、当該通信に関して通信特性値を取得する(S106)。通信特性取得部12は、対象サービスのサービスIDに関連付けて、当該通信情報を分散情報記憶部17に記憶する。   In step S111, when the target terminal transmits data (for example, a measured value or the like) to the GW 10 (S105), the communication characteristic acquisition unit 12 acquires a communication characteristic value regarding the communication (S106). The communication characteristic acquisition unit 12 stores the communication information in the distributed information storage unit 17 in association with the service ID of the target service.

続いて、分散学習部13は、当該サービスIDに関連付けられて分散情報記憶部17に記憶されている通信特性値の履歴に基づいて、通信モデル情報を生成し、当該通信モデル情報を、当該サービスIDに関連付けて分散情報記憶部17に記憶する。なお、通信モデル情報は、複数種類の通信特性値のうちのいずれか一種類の通信特性値に関して生成されてもよいし、2種類以上の通信特性値に関して生成されてもよい。後者の場合、各通信特性値に相関が無いのであれば、通信特性値ごとに通信モデル情報が生成されてもよいし、相関を有する複数の通信特性値に関しては、複数の通信特性値に関して一つの通信モデル情報が生成されてもよい。通信モデル情報の生成に用いる通信特性値及び学習のためのアルゴリズムについては、予め固定的に設定されていてもよいし、サービス提供事業者による事前の選択が可能とされてもよい。サービス提供事業者による事前の選択が可能とされる場合、例えば、選択された内容を示す情報が、PF20の端末情報管理部24に保存され、当該情報が各GW10にダウンロードされてもよい。   Subsequently, the distributed learning unit 13 generates communication model information based on a history of communication characteristic values associated with the service ID and stored in the distributed information storage unit 17, and the communication model information The distributed information storage unit 17 stores the information in association with the ID. Note that the communication model information may be generated for any one of the plurality of types of communication characteristic values, or may be generated for two or more types of communication characteristic values. In the latter case, if there is no correlation between the communication characteristic values, the communication model information may be generated for each communication characteristic value. One communication model information may be generated. The communication characteristic value used for generating the communication model information and the algorithm for learning may be fixedly set in advance or may be selected in advance by the service provider. When the service provider can select in advance, for example, information indicating the selected content may be stored in the terminal information management unit 24 of the PF 20 and the information may be downloaded to each GW 10.

ステップS111〜S113が、対象サービスに関してm回実行されると(すなわち、分散情報記憶部17において対象サービスのサービスIDに関連付けられて記憶されている通信特性値の履歴の数がm個に到達すると)、GW10の分散情報送信部14は、当該サービスIDに関連付けられて記憶されている通信特性値の履歴と、当該サービスIDに関して最後に生成された通信モデル情報と、当該サービスIDとを含む分散情報をPF20に送信する(S114)。なお、ステップS111〜S113のm回の実行は、サービスごとにカウントされる。すなわち、同じサービスに対応する端末が複数有る場合、これら複数の端末に関するステップS111〜S113の実行階数が、m回に到達すればよい。また、mの初期値は、例えば、予め設定される。また、送信対象とされる通信特性値の履歴数は、直近のm個でよい。この場合、過去にGW10からPF20に送信された通信特性値の履歴は、PF20において記憶されるようにすればよい。   When steps S111 to S113 are executed m times with respect to the target service (that is, when the number of communication characteristic value histories stored in association with the service ID of the target service in the distributed information storage unit 17 reaches m). ), The distributed information transmission unit 14 of the GW 10 includes a history of communication characteristic values stored in association with the service ID, communication model information generated last with respect to the service ID, and the service ID. Information is transmitted to PF20 (S114). Note that m executions of steps S111 to S113 are counted for each service. That is, when there are a plurality of terminals corresponding to the same service, the execution floors of steps S111 to S113 relating to the plurality of terminals only need to reach m times. The initial value of m is set in advance, for example. The number of communication characteristic value histories to be transmitted may be the latest m. In this case, the history of communication characteristic values transmitted in the past from the GW 10 to the PF 20 may be stored in the PF 20.

PF20の分散情報受信部21は、当該分散情報を受信すると、当該分散情報に含まれている通信特性値の履歴を、当該サービスIDに関連付けて集約情報記憶部25に記憶する。また、PF20の集約学習部22は、当該サービスIDに関連付けられて集約情報記憶部25に記憶されている通信モデル情報と、受信された分散情報に含まれている通信モデル情報とに基づいて、新たな通信モデル情報を生成し、生成された通信モデル情報によって、当該サービスIDに関連付けられて集約情報記憶部25に記憶されている通信モデル情報を上書きする(S115)。なお、通信モデルによっては、通信モデル情報同士を統合するのが困難な場合が有る。このような場合、集約学習部22は、当該サービスIDに関連付けられて集約情報記憶部25に記憶されている通信特性値の履歴に基づいて、新たな通信モデル情報を生成してもよい。集約学習部22は、また、通信モデル情報の収束状況に応じて送信周期を計算する。送信周期とは、上記におけるmの値である。例えば、通信モデル情報の収束状況に応じて、動的に通信モデル情報の送信周期が変更されてもよい。集約学習部22は、計算された送信周期を、当該サービスIDに関連付けて集約情報記憶部25に記憶する。   When receiving the shared information, the shared information receiving unit 21 of the PF 20 stores the history of communication characteristic values included in the shared information in the aggregate information storage unit 25 in association with the service ID. Further, the aggregation learning unit 22 of the PF 20 is based on the communication model information associated with the service ID and stored in the aggregation information storage unit 25, and the communication model information included in the received distributed information. New communication model information is generated, and the communication model information associated with the service ID and stored in the aggregate information storage unit 25 is overwritten with the generated communication model information (S115). Depending on the communication model, it may be difficult to integrate the communication model information. In such a case, the intensive learning unit 22 may generate new communication model information based on a history of communication characteristic values associated with the service ID and stored in the intensive information storage unit 25. The intensive learning unit 22 also calculates a transmission cycle according to the convergence state of the communication model information. The transmission period is the value of m in the above. For example, the transmission cycle of the communication model information may be dynamically changed according to the convergence state of the communication model information. The aggregation learning unit 22 stores the calculated transmission cycle in the aggregation information storage unit 25 in association with the service ID.

続いて、PF20の集約情報送信部23は、ステップS115において生成された通信モデル情報と、ステップS115において計算された送信周期と、対象サービスのサービスIDとを、GW10に送信する(S116)。GW10の集約情報受信部15は、当該通信モデル情報及び当該送信周期等を受信すると、当該通信モデル情報及び当該送信周期を、受信されたサービスIDに関連付けて比較情報記憶部18に記憶する(S117)。当該サービスIDに関連付けられている学習モデル情報又は送信周期が既に比較情報記憶部18に記憶されている場合、既に記憶されている情報は、新たに受信された情報によって上書きされる。   Subsequently, the aggregate information transmission unit 23 of the PF 20 transmits the communication model information generated in Step S115, the transmission cycle calculated in Step S115, and the service ID of the target service to the GW 10 (S116). When receiving the communication model information and the transmission cycle, the aggregate information receiving unit 15 of the GW 10 stores the communication model information and the transmission cycle in the comparison information storage unit 18 in association with the received service ID (S117). ). When the learning model information or the transmission cycle associated with the service ID is already stored in the comparison information storage unit 18, the already stored information is overwritten with the newly received information.

ステップS111〜S117は、ステップS115において生成される通信モデル情報が収束するまで繰り返される。繰り返しの過程において、ステップ111〜S113の繰り返し回数(送信周期)は、ステップS116において受信される送信周期によって更新される。例えば、後述される収束度が所定値以下となるまで、ステップS112〜S117が繰り返されてもよい。また、繰り返しの回数に上限が設けられてもよい。通信モデル情報が収束したか否かの判定は、PF20において行われてもよいし、GW10において行われてもよい。PF20において収束の有無が判定される場合、例えば、ステップS115において、通信モデル情報の生成後に通信モデル情報の収束の有無が判定され、当該収束の有無を示す情報がステップS116においてGW10に送信されてもよい。GW10において収束の有無が判定される場合、GW10は、ステップS116において受信された通信モデル情報を含む、PF20から過去に受信した通信モデル情報の履歴に基づいて、当該通信モデル情報の収束の有無を判定してもよい。ステップS115において生成される通信モデル情報が収束すると、GW10は、対象サービスに関して異常検知フェーズに移行する(S200)。   Steps S111 to S117 are repeated until the communication model information generated in step S115 converges. In the repetition process, the number of repetitions (transmission cycle) of steps 111 to S113 is updated by the transmission cycle received in step S116. For example, steps S <b> 112 to S <b> 117 may be repeated until the degree of convergence described below becomes a predetermined value or less. An upper limit may be set for the number of repetitions. The determination as to whether the communication model information has converged may be performed in the PF 20 or may be performed in the GW 10. When the presence / absence of convergence is determined in the PF 20, for example, in step S115, the presence / absence of convergence of the communication model information is determined after the generation of the communication model information, and information indicating the presence / absence of the convergence is transmitted to the GW 10 in step S116. Also good. When the presence or absence of convergence is determined in the GW 10, the GW 10 determines whether or not the communication model information has converged based on the history of communication model information received in the past from the PF 20 including the communication model information received in step S116. You may judge. When the communication model information generated in step S115 converges, the GW 10 proceeds to the abnormality detection phase for the target service (S200).

なお、ステップS103においても、対象サービスのサービスIDに関して記憶されている通信モデル情報が収束していると判定される場合に限って、当該通信モデル情報がGW10に送信されるようにしてもよい。   In step S103, the communication model information may be transmitted to the GW 10 only when it is determined that the communication model information stored for the service ID of the target service has converged.

続いて、異常検知フェーズについて説明する。図4は、異常検知フェーズにおける処理手順の一例を説明するためのシーケンス図である。   Next, the abnormality detection phase will be described. FIG. 4 is a sequence diagram for explaining an example of a processing procedure in the abnormality detection phase.

ステップS201、S202、及びS204は、図3のステップS111、S112、及びS113と同様である。異常検知フェーズの場合(ステップS201において受信されたデータが、異常検知フェーズに移行したサービスに関するデータである場合)、ステップS202とステップS204との間において、ステップS203が実行される。   Steps S201, S202, and S204 are the same as steps S111, S112, and S113 in FIG. In the case of the abnormality detection phase (when the data received in step S201 is data related to the service that has shifted to the abnormality detection phase), step S203 is executed between step S202 and step S204.

ステップS203において、GW10の通信制御部16は、ステップS202において取得された通信特性値を、ステップS202において受信されたデータの送信元の端末(以下、「対象端末」という。)が対応するサービス(以下、「対象サービス」という。)のサービスIDに関連付けられて比較情報記憶部18に記憶されている通信モデル情報(以下、「対象通信モデル情報」という。)と比較することで、対象端末の異常の有無を判定する例えば、対象通信モデル情報から導出される閾値βと、当該通信特性値とが比較されて異常の有無が判定されてもよい。より詳しくは、対象サービスに関して取得される通信特性値の分布が何らかの確率分布に従う場合、このモデルから大きく外れた通信特性値が取得されたときに、対象端末は異常であると判定してもよい。   In step S203, the communication control unit 16 of the GW 10 uses the communication characteristic value acquired in step S202 as a service (hereinafter referred to as “target terminal”) to which the terminal (hereinafter referred to as “target terminal”) of the data received in step S202 corresponds. Hereinafter, it is referred to as “target service”) and is compared with the communication model information (hereinafter referred to as “target communication model information”) stored in the comparison information storage unit 18 in association with the service ID of the target terminal. For example, the presence or absence of abnormality may be determined by comparing the threshold value β derived from the target communication model information with the communication characteristic value. More specifically, when the distribution of communication characteristic values acquired for the target service follows some probability distribution, it may be determined that the target terminal is abnormal when a communication characteristic value greatly deviating from this model is acquired. .

対象端末に異常が有ることが判定された場合(異常が検知された場合)、通信制御部16は、対象端末の通信を即時遮断してもよい。又は、通信制御部16は、異常の発生を示す情報をPF20の、端末情報管理部24に送信してもよい。この場合、端末情報管理部24は、予め設定されたサービス提供事業者の連絡先にメール又はその他の通信手段により異常の発生を通知してもよい。この際、サービス提供事業者は、対象端末の通信遮断の要否を選択でき、通信遮断が必要であることが選択された場合に、端末情報管理部24が、GW10の通信制御部16に対して通信遮断の指示を行い、通信制御部16が、対象端末の通信を遮断してもよい。異常検知時のアクションについては、サービス提供事業者が事前にサービスごとに選択でき、当該アクションを示す情報はPF20の端末情報管理部24によって保持されてもよい。この場合、当該情報は、図3のステップS103においてGW10に送信されてもよいし、異常検知時に、GW10が当該情報をPF20に問いあわせてもよい。   When it is determined that there is an abnormality in the target terminal (when an abnormality is detected), the communication control unit 16 may immediately block communication of the target terminal. Alternatively, the communication control unit 16 may transmit information indicating the occurrence of abnormality to the terminal information management unit 24 of the PF 20. In this case, the terminal information management unit 24 may notify the occurrence of an abnormality to a contact address of a preset service provider by e-mail or other communication means. At this time, the service provider can select whether or not communication of the target terminal is necessary, and if it is selected that communication is necessary, the terminal information management unit 24 sends the communication control unit 16 of the GW 10 to the communication control unit 16. Then, the communication control unit 16 may block communication of the target terminal. About the action at the time of abnormality detection, a service provider can select beforehand for every service, and the information which shows the said action may be hold | maintained by the terminal information management part 24 of PF20. In this case, the information may be transmitted to the GW 10 in step S103 of FIG. 3, or the GW 10 may inquire the PF 20 for the information when an abnormality is detected.

なお、対象端末の異常が検知された場合、ステップS202において取得された通信特性値は破棄され、ステップS204は実行されない。異常な値に基づく学習が行われないようにするためのである。一方、対象端末の異常が検知されない場合、ステップS204は実行される。   If an abnormality of the target terminal is detected, the communication characteristic value acquired in step S202 is discarded and step S204 is not executed. This is to prevent learning based on an abnormal value. On the other hand, when no abnormality of the target terminal is detected, step S204 is executed.

ステップS201〜S204が、対象サービスに関してm回繰り返されると、ステップS205〜S208が実行される。図4において、mの初期値は、対象サービスに関して、図3ステップS103又はS116において受信された送信周期である。なお、異常が検知されたケースは、m回にカウントされない。すなわち、ステップS204が実行された回数(学習が行われた回数)が、m回にカウントされる。   When Steps S201 to S204 are repeated m times for the target service, Steps S205 to S208 are executed. In FIG. 4, the initial value of m is the transmission cycle received in step S103 or S116 in FIG. 3 for the target service. A case where an abnormality is detected is not counted m times. That is, the number of times step S204 has been executed (the number of times learning has been performed) is counted m times.

ステップS205〜S208は、図3におけるステップS114〜S117と同じである。ステップS208の実行後、ステップS201以降が繰り返される。この際、mの値は、ステップS207において受信された送信周期によって更新される。   Steps S205 to S208 are the same as steps S114 to S117 in FIG. After step S208 is executed, step S201 and subsequent steps are repeated. At this time, the value of m is updated by the transmission cycle received in step S207.

なお、ステップS202において取得された通信特性値を逐次PF20に集約し、PF20が通信モデル情報を逐次学習することも考えられる。しかし、この方法ではPF20における処理負荷及びPF20とGW10との通信回数が増大することで、特にスケーラビリティについて課題が存在する。   Note that it is also conceivable that the communication characteristic values acquired in step S202 are sequentially collected in the PF 20, and the PF 20 sequentially learns the communication model information. However, in this method, the processing load in the PF 20 and the number of times of communication between the PF 20 and the GW 10 increase, so that there is a particular problem with scalability.

そこで、本実施の形態では、GW10が通信モデル情報を学習し、当該通信モデル情報を周期的にPF20に送信することで、GW10とPF20の間で発生する通信回数とPF20の処理負荷とを低減している。   Therefore, in the present embodiment, the GW 10 learns the communication model information and periodically transmits the communication model information to the PF 20, thereby reducing the number of communication times generated between the GW 10 and the PF 20 and the processing load of the PF 20. doing.

また、PF20とGW10と端末の台数関係は、一般的に、1:M:N(かつ1<<M<<N)であり、複数のGW10からPF20に対して、各GW10において取得・学習された通信特性値及び通信モデル情報が送信され、PF20において集約される。   Further, the number relationship between the PF 20, the GW 10, and the terminal is generally 1: M: N (and 1 << M << N), and is acquired and learned from each of the GWs 10 to the PF 20. The communication characteristic values and communication model information transmitted are aggregated in the PF 20.

そのため、PF20では、複数のGW10を跨いで同一サービスに紐づく全ての端末の通信特性値に基づいて、精度の高い通信モデル情報が生成される。   Therefore, in PF20, highly accurate communication model information is produced | generated based on the communication characteristic value of all the terminals linked with the same service across several GW10.

GW10からPF20に対して通信が行われる際に、PF20が、最新の通信モデル情報をGW10に返送することで、GW10は、高精度な通信モデルを用いた異常検知を行うことができる。   When communication is performed from the GW 10 to the PF 20, the PF 20 returns the latest communication model information to the GW 10, so that the GW 10 can perform abnormality detection using a highly accurate communication model.

GW10がPF20へ通信特性値を逐次送信し、PF20が異常判定を行い、PF20が通信モデル情報を逐次更新する場合と比較して、本実施の形態では、通信モデル情報の最新化には周期的な更新タイミングを迎えるまでの間にタイムラグが生じるため、適切な送信間隔を設定する必要がある。送信間隔が小さいと、PF20への通信回数ならびにPF20での処理発生回数は増加するが、通信モデル情報の更新遅れは発生しにくくなる。一方、送信間隔が大きいと、PF20の負荷が減る一方で、PF20が保有する通信モデル情報と各GW10が保有する通信モデル情報とが乖離する可能性がある。   Compared with the case where the GW 10 sequentially transmits communication characteristic values to the PF 20, the PF 20 performs abnormality determination, and the PF 20 sequentially updates the communication model information, in this embodiment, the communication model information is updated periodically. Since a time lag occurs before the correct update timing is reached, it is necessary to set an appropriate transmission interval. When the transmission interval is small, the number of communications to the PF 20 and the number of processing occurrences at the PF 20 increase, but the update delay of the communication model information is less likely to occur. On the other hand, if the transmission interval is large, the load of the PF 20 is reduced, while the communication model information held by the PF 20 and the communication model information held by each GW 10 may be different.

GW10が通信モデル情報等を送信するタイミングのバリエーションとしては、上記において説明したように、予め決められた周期でGW10が送信を行ってもよいし、PF20の負荷平滑化の観点から、PF20がスケジューリングを行い、順番にGW10に対して通信モデル情報の送信を要求してもよい。   As a variation of the timing at which the GW 10 transmits the communication model information and the like, as described above, the GW 10 may perform transmission at a predetermined cycle. From the viewpoint of load smoothing of the PF 20, the PF 20 performs scheduling. The transmission model information may be requested to the GW 10 in order.

なお、GW10において処理能力に制約が存在し、学習の実施が困難な場合、GW10が通信モデル情報の学習を全く行わずに通信特性値をPF20に周期的に送信してもよい。この場合であっても、通信回数の低減の効果を得ることができる。   Note that when there is a limitation in processing capability in the GW 10 and it is difficult to perform learning, the GW 10 may periodically transmit the communication characteristic value to the PF 20 without learning the communication model information at all. Even in this case, the effect of reducing the number of communications can be obtained.

また、PF20が有する分散情報受信部21、集約学習部22、集約情報送信部23、端末情報管理部24等は、必ずしも一つのコンピュータによって実現されなくてもよい。スケーラビリティの観点から、負荷の大きな特定のサービス、あるいは全てのサービスに関する各機能部を、別々の物理サーバ又は仮想マシン上に分離して配置してもよい。この場合、図1に示すPF20において、分離したサーバの識別子(IPアドレス/ドメイン名など)とサービス提供事業者の識別子の紐付けが管理され、これを利用して各サーバとの通信の振り分けが行われてもよい。   Further, the distributed information reception unit 21, the aggregation learning unit 22, the aggregation information transmission unit 23, the terminal information management unit 24, and the like included in the PF 20 are not necessarily realized by one computer. From the viewpoint of scalability, a specific service with a large load or each functional unit related to all services may be separately arranged on separate physical servers or virtual machines. In this case, in the PF 20 shown in FIG. 1, the association between the identifier of the separated server (IP address / domain name, etc.) and the identifier of the service provider is managed, and this is used to distribute communication with each server. It may be done.

次に、端末から得られる通信特性値の分布が正規分布N(μ,σ)に従う場合について、本実施の形態を具体的に説明する。 Next, this embodiment will be specifically described in the case where the distribution of communication characteristic values obtained from the terminal follows the normal distribution N (μ, σ 2 ).

GW10の分散情報記憶部17には、サービス毎に、通信モデル情報として、μ及びσに加え、これまでに取得された通信特性値の数nが、通信モデル情報として記憶される。GW10の分散学習部13は、新たな通信特性値datan+1が通信特性取得部12によって取得される度に、逐次、以下の式を用いて新たな通信モデル情報μn+1、σ n+1を求める。なお、以下の式において、α=1/(n+1)である。 In the distributed information storage unit 17 of the GW 10, the number n of communication characteristic values acquired so far is stored as communication model information in addition to μ and σ 2 as communication model information for each service. Each time a new communication characteristic value data n + 1 is acquired by the communication characteristic acquisition unit 12, the distributed learning unit 13 of the GW 10 sequentially obtains new communication model information μ n + 1 and σ 2 n + 1 using the following equations. In the following formula, α = 1 / (n + 1).

Figure 0006476143
GW10の分散学習部13は、送信周期が訪れるまで(送信周期の回数分、通信モデル情報を更新するまで)、上記の式を用いて通信モデル情報を繰り返し更新する。
Figure 0006476143
The distributed learning unit 13 of the GW 10 repeatedly updates the communication model information using the above formula until the transmission cycle arrives (until the communication model information is updated for the number of transmission cycles).

或るサービスに関して送信周期が到来すると、GW10の分散情報送信部14は、当該サービスに関する通信モデル情報n、μ、及びσをPF20に送信する。なお、通信モデル情報が正規分布に従う場合は、GW10がこれまでに取得し通信特性値の履歴を送信する必要はなく、GW10が学習した通信モデル情報のみを送信してもよい。一方、通信モデル情報を統合又は集約するのが困難な通信モデルに従う場合には、通信特性値の履歴の送信が必要である。この場合、通信モデル情報は送信されなくてもよく、GW10において通信モデル情報が学習されなくてもよい。 When the transmission cycle for a certain service arrives, the distributed information transmission unit 14 of the GW 10 transmits the communication model information n, μ, and σ 2 regarding the service to the PF 20. When the communication model information follows a normal distribution, it is not necessary for the GW 10 to transmit the communication characteristic value history acquired so far, and only the communication model information learned by the GW 10 may be transmitted. On the other hand, when following a communication model in which it is difficult to integrate or aggregate communication model information, it is necessary to transmit a history of communication characteristic values. In this case, the communication model information may not be transmitted, and the communication model information may not be learned in the GW 10.

PF20において、GW10からの通信モデル情報が受信されると、PF20の集約学習部22は、以下の式を用いて通信モデル情報を更新する(いずれの式も平均、分散の公式より導出可能である。この式はGW10側で取得した通信特性値に基づく通信モデル情報と、PF20側が保持する通信モデル情報とが同じ母集団(=同じサービス)から抽出された標本の特徴量であるときに成り立つ。)。   When the communication model information from the GW 10 is received in the PF 20, the aggregate learning unit 22 of the PF 20 updates the communication model information using the following formulas (all formulas can be derived from the average and variance formulas). This equation holds when the communication model information based on the communication characteristic value acquired on the GW 10 side and the communication model information held on the PF 20 side are the feature quantities of the samples extracted from the same population (= the same service). ).

Figure 0006476143
ここで、XGW+PFは、GW10側のXとPF20側のXとを統合した結果を示す。なお、上記の式において、Xに当てはまる値は、σ、μ、及びμである。
Figure 0006476143
Here, X GW + PF indicates the result of integrating X on the GW 10 side and X on the PF 20 side. In the above formula, values that apply to X are σ 2 , μ 2 , and μ.

続いて、PF20の集約情報送信部23は、更新した通信モデル情報(n=nGW10+nPF,μGW+PF,σ GW+PF)と、当該通信モデル情報に係るサービスのサービスIDとを、GW10に返送する。GW10の集約情報受信部15は、当該通信モデル情報及びサービスIDを受信すると、比較情報記憶部18において当該サービスIDに対応付けられて記憶されている通信モデル情報を、受信された通信モデル情報によって上書きする。その結果、当該サービスIDに係るサービスに関する端末との以降の通信(端末からのデータの送信)に関する通信特性値は、新たに比較情報記憶部18に記憶された通信モデル情報と比較されて、当該端末の異常の有無が判定される。 Subsequently, the aggregate information transmission unit 23 of the PF 20 returns the updated communication model information (n = n GW10 + n PF , μ GW + PF , σ 2 GW + PF ) and the service ID of the service related to the communication model information to the GW 10. To do. Upon receiving the communication model information and service ID, the aggregate information receiving unit 15 of the GW 10 uses the received communication model information to store the communication model information stored in the comparison information storage unit 18 in association with the service ID. Overwrite. As a result, the communication characteristic value related to the subsequent communication (transmission of data from the terminal) with the terminal related to the service related to the service ID is compared with the communication model information newly stored in the comparison information storage unit 18, and It is determined whether or not the terminal is abnormal.

ここで、通信モデル情報は、通信特性値が取りうる値の正規分布N(μ,σ)を表すものであり、この正規分布に従った場合の出現確率が一定値以下の値を外れ値と判定することができる。これは、単純に信頼区間を求める問題とみなすことができる。例えば、95%信頼区間は、以下の式で表すことができる。 Here, the communication model information represents a normal distribution N (μ, σ 2 ) of values that can be taken by the communication characteristic value, and an appearance probability in the case of following this normal distribution is an outlier value. Can be determined. This can be regarded as a problem of simply obtaining a confidence interval. For example, the 95% confidence interval can be expressed by the following equation.

Figure 0006476143
例えば、μ=20、σ=5、n=30の場合、信頼区間は、20±1.95×5/√30=20±1.78であり、18.22と、21.78とが、上記における閾値βとなる。
Figure 0006476143
For example, when μ = 20, σ = 5, and n = 30, the confidence interval is 20 ± 1.95 × 5 / √30 = 20 ± 1.78, and 18.22 and 21.78 are It becomes the threshold value β in the above.

続いて、送信周期(m)の動的な変更方法について説明する。   Next, a method for dynamically changing the transmission cycle (m) will be described.

通信モデル情報が、正規分布に従う場合、学習した通信モデル情報のばらつき(=精度の低さ)は、通信モデルの標準誤差σ/√nで表すことができる。   When the communication model information follows a normal distribution, the variation (= low accuracy) of the learned communication model information can be expressed by the standard error σ / √n of the communication model.

この式から分かるように、十分な量の通信特性値を取得すれば、標準誤差は小さな値に収束する。この場合、PF20とGW10との間で通信モデル情報の頻繁な交換は不要である。一方、通信特性値の取得数が少ない場合、PF20とGW10との間で通信モデル情報は頻繁に交換する必要がある(図5参照)。   As can be seen from this equation, if a sufficient amount of communication characteristic value is acquired, the standard error converges to a small value. In this case, frequent exchange of communication model information between the PF 20 and the GW 10 is not necessary. On the other hand, when the number of acquired communication characteristic values is small, the communication model information needs to be frequently exchanged between the PF 20 and the GW 10 (see FIG. 5).

そこで、通信モデルの収束度を定義し、収束度に応じて動的に送信周期(PF20とGW10で通信モデル情報をやり取りするまでに、GW10において通信モデル情報を更新する回数)を変更する。   Therefore, the degree of convergence of the communication model is defined, and the transmission cycle (the number of times the communication model information is updated in the GW 10 before the communication model information is exchanged between the PF 20 and the GW 10) is changed according to the degree of convergence.

一例として、下記のような式が考えられる。   As an example, the following equation can be considered.

Figure 0006476143
閾値γは、任意に設定される値である。また2番目の式は、1と、(閾値γ/収束度)を整数に丸めた値との大きい方の値が、送信間隔となることを示す(整数に丸める方法は任意であり,小数点以下の切り捨て,切り上げ,四捨五入のいずれでもよい)。
Figure 0006476143
The threshold value γ is a value set arbitrarily. The second expression indicates that the larger value of 1 and the value obtained by rounding (threshold γ / convergence degree) to an integer is the transmission interval (the method of rounding to an integer is arbitrary, the number after the decimal point Can be rounded down, rounded up, or rounded off).

直近のk個の通信モデル情報の標準誤差の変化の大きさを収束度と定義する。収束度が0に近いほど収束しており、収束度が大きいほど収束していない状態を表す。この計算は、例えば、PF20の集約学習部22により行われ、GW10から受信した通信モデル情報に基づいて、新たな通信モデル情報を学習するたびに、当該通信モデル情報と共に、当該送信間隔がGW10に送信される。   The magnitude of change in the standard error of the latest k pieces of communication model information is defined as the degree of convergence. As the convergence degree is closer to 0, the convergence is achieved, and as the convergence degree is larger, the convergence is not achieved. This calculation is performed by, for example, the aggregation learning unit 22 of the PF 20, and whenever new communication model information is learned based on the communication model information received from the GW 10, the transmission interval is set to the GW 10 together with the communication model information. Sent.

収束度が閾値γより大きい(収束していない)場合、送信間隔は1、すなわち、GW10側で通信モデル情報を学習するたびに、逐次、PF20とGW10の間で通信モデル情報のやり取りが行われる。収束度が0に近い場合、送信間隔は長くなる。   When the convergence degree is larger than the threshold γ (not converged), the transmission interval is 1, that is, the communication model information is sequentially exchanged between the PF 20 and the GW 10 every time the communication model information is learned on the GW 10 side. . When the convergence degree is close to 0, the transmission interval becomes long.

上述したように、本実施の形態によれば、GW10は、端末からデータが受信されるたびに逐次、通信特性値又は通信モデル情報をPF20に送信するのではなく、周期的に通信特性値又は通信モデル情報をPF20に送信する。その結果、GW10及びPF20間の通信頻度を低減することができる。また、端末の異常の検知は、分散された複数のGW10において取得された通信特性値に基づく学習結果である通信モデル情報が利用されて行われる。したがって、ネットワークにおけるスケーラビリティの確保と、通信モデル情報を利用した高精度な端末の異常検知とを両立することができる。すなわち、ネットワークに接続される端末の異常検知の効率性を向上させることができる。   As described above, according to the present embodiment, the GW 10 does not sequentially transmit the communication characteristic value or the communication model information to the PF 20 every time data is received from the terminal, but periodically transmits the communication characteristic value or Communication model information is transmitted to PF20. As a result, the communication frequency between the GW 10 and the PF 20 can be reduced. In addition, the detection of the abnormality of the terminal is performed by using communication model information that is a learning result based on communication characteristic values acquired in a plurality of distributed GWs 10. Therefore, it is possible to achieve both ensuring of scalability in the network and highly accurate terminal abnormality detection using the communication model information. That is, it is possible to improve the efficiency of detecting an abnormality of a terminal connected to the network.

また、通信モデル情報が各GW10において学習される場合、PF20における処理負荷を低減することもできる。   Moreover, when communication model information is learned in each GW 10, the processing load in the PF 20 can be reduced.

なお、本実施の形態において、GW10は、異常検知装置の一例である。通信特性取得部12は、取得部の一例である。分散情報送信部14は、送信部の一例である。集約情報受信部15は、受信部の一例である。通信制御部16は、検知部の一例である。分散学習部13は、請求項2の生成部の一例である。PF20は、集約装置の一例である。集約学習部22は、請求項4の生成部の一例である。   In the present embodiment, the GW 10 is an example of an abnormality detection device. The communication characteristic acquisition unit 12 is an example of an acquisition unit. The shared information transmission unit 14 is an example of a transmission unit. The aggregate information receiving unit 15 is an example of a receiving unit. The communication control unit 16 is an example of a detection unit. The distributed learning unit 13 is an example of a generation unit according to claim 2. The PF 20 is an example of an aggregation device. The intensive learning unit 22 is an example of a generation unit of claim 4.

以上、本発明の実施例について詳述したが、本発明は斯かる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。   As mentioned above, although the Example of this invention was explained in full detail, this invention is not limited to such specific embodiment, In the range of the summary of this invention described in the claim, various deformation | transformation・ Change is possible.

1 異常検知システム
10 GW
11 端末収容部
12 通信特性取得部
13 分散学習部
14 分散情報送信部
15 集約情報受信部
16 通信制御部
17 分散情報記憶部
18 比較情報記憶部
20 PF
21 分散情報受信部
22 集約学習部
23 集約情報送信部
24 端末情報管理部
25 集約情報記憶部
26 端末情報記憶部
100 ドライブ装置
101 記録媒体
102 補助記憶装置
103 メモリ装置
104 CPU
105 インタフェース装置
B バス
1 Anomaly detection system 10 GW
11 Terminal accommodation unit 12 Communication characteristic acquisition unit 13 Distributed learning unit 14 Distributed information transmission unit 15 Aggregated information reception unit 16 Communication control unit 17 Distributed information storage unit 18 Comparison information storage unit 20 PF
21 Distributed Information Receiving Unit 22 Aggregate Learning Unit 23 Aggregated Information Transmitting Unit 24 Terminal Information Management Unit 25 Aggregated Information Storage Unit 26 Terminal Information Storage Unit 100 Drive Device 101 Recording Medium 102 Auxiliary Storage Device 103 Memory Device 104 CPU
105 Interface device B bus

Claims (6)

ネットワークを介して接続される端末の異常を検知する異常検知装置であって、
端末との通信に関する特性値を取得する取得部と、
前記取得部によって前記特性値が取得されるたびに、複数のタイミングでの端末との通信に関して取得された特性値の履歴に基づいて、前記特性値の分布モデルを生成する生成部と、
所定の間隔ごとに、前記生成部が生成した分布モデルを、ネットワークを介して接続される集約装置に送信する送信部と、
前記送信部によって送信された分布モデルと、当該異常検知装置には接続されていない端末に関する前記分布モデルとに基づいて前記集約装置が生成した前記特性値の分布モデルを受信する受信部と、
前記受信部によって受信された分布モデルと、当該分布モデルが受信された後の端末との通信に関する特性値との比較に基づいて、ネットワークを介して接続される端末の異常を検知する検知部と、
を有し、
前記所定の間隔は、前記集約装置が生成する前記分布モデルの収束に応じて長くなる、
ことを特徴とする異常検知装置。
An anomaly detection device for detecting an anomaly of a terminal connected via a network,
An acquisition unit for acquiring characteristic values related to communication with the terminal;
Each time the characteristic value is acquired by the acquisition unit, a generation unit that generates a distribution model of the characteristic value based on a history of characteristic values acquired regarding communication with a terminal at a plurality of timings ;
For each predetermined interval, a transmission unit that transmits the distribution model generated by the generation unit to an aggregation device connected via a network;
Receiving for receiving and the distribution model transmitted by the transmitting unit, the abnormality detection distribution model of the characteristic values were the aggregation device is generated based on the previous SL distribution model about the terminal that is not connected to the device And
A detection unit that detects an abnormality of a terminal connected via a network based on a comparison between a distribution model received by the reception unit and a characteristic value related to communication with the terminal after the distribution model is received; ,
I have a,
The predetermined interval becomes longer according to the convergence of the distribution model generated by the aggregation device.
An abnormality detection device characterized by that.
前記送信部は、前記取得部による前記特性値の取得回数が、前記分布モデルの収束状況に基づいて算出される回数に達する度に、前記取得された特性値の履歴、又は前記履歴に基づく前記特性値の分布モデルを前記集約装置に送信する、
ことを特徴とする請求項記載の異常検知装置。
The transmission unit, each time the acquisition of the characteristic value by the acquisition unit reaches the number of times calculated based on the convergence status of the distribution model, the history of the acquired characteristic value, or the history based on the history Transmitting a distribution model of characteristic values to the aggregation device;
The abnormality detection device according to claim 1 .
ネットワークを介して接続される端末の異常を検知する複数の異常検知装置と、前記複数の異常検知装置にネットワークを介して接続される集約装置とを含む異常検知システムであって、
前記異常検知装置は、
端末との通信に関する特性値を取得する取得部と、
前記取得部によって前記特性値が取得されるたびに、複数のタイミングでの端末との通信に関して取得された特性値の履歴に基づいて、前記特性値の分布モデルを生成する第1の生成部と、
所定の間隔ごとに、前記第1の生成部が生成した分布モデルを、前記集約装置に送信する送信部と、
前記集約装置が生成した前記特性値の分布モデルを受信する受信部と、
前記受信部によって受信された分布モデルと、当該分布モデルが受信された後の端末との通信に関する特性値との比較に基づいて、ネットワークを介して接続される端末の異常を検知する検知部とを有し、
前記集約装置は、
前記複数の異常検知装置から送信される前記分布モデルに基づいて前記特性値の分布モデルを生成する第2の生成部を有
前記所定の間隔は、前記集約装置が生成する前記分布モデルの収束に応じて長くなる、
ことを特徴とする異常検知システム。
An abnormality detection system including a plurality of abnormality detection devices that detect an abnormality of a terminal connected via a network, and an aggregation device connected to the plurality of abnormality detection devices via a network,
The abnormality detection device is:
An acquisition unit for acquiring characteristic values related to communication with the terminal;
A first generation unit that generates a distribution model of the characteristic value based on a history of characteristic values acquired for communication with a terminal at a plurality of timings each time the characteristic value is acquired by the acquisition unit; ,
A transmission unit that transmits the distribution model generated by the first generation unit to the aggregation device at predetermined intervals ;
A receiving unit that receives the distribution model of the characteristic value generated by the aggregation device;
A detection unit that detects an abnormality of a terminal connected via a network based on a comparison between a distribution model received by the reception unit and a characteristic value related to communication with the terminal after the distribution model is received; Have
The aggregation device is
Have a second generation unit for generating a distribution model of said characteristic values based on the previous SL distribution model that will be transmitted from the plurality of abnormality detection device,
The predetermined interval becomes longer according to the convergence of the distribution model generated by the aggregation device.
An abnormality detection system characterized by that.
ネットワークを介して接続される端末の異常を検知する異常検知装置が、
端末との通信に関する特性値を取得する取得手順と、
前記取得手順において前記特性値が取得されるたびに、複数のタイミングでの端末との通信に関して取得された特性値の履歴に基づいて、前記特性値の分布モデルを生成する生成手順と、
所定の間隔ごとに、前記生成手順が生成した分布モデルを、ネットワークを介して接続される集約装置に送信する送信手順と、
前記送信手順において送信された分布モデルと、当該異常検知装置には接続されていない端末に関する前記分布モデルとに基づいて前記集約装置が生成した前記特性値の分布モデルを受信する受信手順と、
前記受信手順において受信された分布モデルと、当該分布モデルが受信された後の端末との通信に関する特性値との比較に基づいて、ネットワークを介して接続される端末の異常を検知する検知手順と、
を実行し、
前記所定の間隔は、前記集約装置が生成する前記分布モデルの収束に応じて長くなる、
ことを特徴とする異常検知方法。
An anomaly detection device that detects an anomaly in a terminal connected via a network
An acquisition procedure for acquiring characteristic values related to communication with the terminal,
Each time the characteristic value is acquired in the acquisition procedure, a generation procedure for generating a distribution model of the characteristic value based on a history of characteristic values acquired regarding communication with a terminal at a plurality of timings ;
A transmission procedure for transmitting the distribution model generated by the generation procedure to a concentrator connected via a network at predetermined intervals ;
Receiving for receiving and the distribution models that are sent, the distribution model of the abnormality detection the characteristic value the aggregation device is generated based on the previous SL distribution model about the terminal that is not connected to the device in the transmission procedure Procedure and
A detection procedure for detecting an abnormality of a terminal connected via a network based on a comparison between the distribution model received in the reception procedure and a characteristic value related to communication with the terminal after the distribution model is received; ,
The execution,
The predetermined interval becomes longer according to the convergence of the distribution model generated by the aggregation device.
An abnormality detection method characterized by that.
ネットワークを介して接続される端末の異常を検知する複数の異常検知装置と、前記複数の異常検知装置にネットワークを介して接続される集約装置とが実行する異常検知方法であって、
前記異常検知装置が、
端末との通信に関する特性値を取得する取得手順と、
前記取得手順において前記特性値が取得されるたびに、複数のタイミングでの端末との通信に関して取得された特性値の履歴に基づいて、前記特性値の分布モデルを生成する第1の生成手順と、
所定の間隔ごとに、前記第1の生成手順が生成した分布モデルを、ネットワークを介して接続される集約装置に送信する送信手順と、
前記集約装置が生成した前記特性値の分布モデルを受信する受信手順と、
前記受信手順において受信された分布モデルと、当該分布モデルが受信された後の端末との通信に関する特性値との比較に基づいて、ネットワークを介して接続される端末の異常を検知する検知手順とを実行し、
前記集約装置が、
前記複数の異常検知装置から送信される前記分布モデルに基づいて前記特性値の分布モデルを生成する第2の生成手順を実行
前記所定の間隔は、前記集約装置が生成する前記分布モデルの収束に応じて長くなる、
ことを特徴とする異常検知方法。
An abnormality detection method executed by a plurality of abnormality detection devices that detect an abnormality of a terminal connected via a network, and an aggregation device connected to the plurality of abnormality detection devices via a network,
The abnormality detection device is
An acquisition procedure for acquiring characteristic values related to communication with the terminal,
A first generation procedure for generating a distribution model of the characteristic value based on a history of characteristic values acquired for communication with a terminal at a plurality of timings each time the characteristic value is acquired in the acquisition procedure; ,
A transmission procedure for transmitting the distribution model generated by the first generation procedure to a concentrator connected via a network at predetermined intervals ;
A reception procedure for receiving a distribution model of the characteristic value generated by the aggregation device;
A detection procedure for detecting an abnormality of a terminal connected via a network based on a comparison between the distribution model received in the reception procedure and a characteristic value related to communication with the terminal after the distribution model is received; Run
The aggregation device is
Run the second generation procedure for generating a distribution model of said characteristic values based on the previous SL distribution model that will be transmitted from the plurality of abnormality detection device,
The predetermined interval becomes longer according to the convergence of the distribution model generated by the aggregation device.
An abnormality detection method characterized by that.
請求項1又は2記載の各部としてコンピュータを機能させることを特徴とするプログラム。 A program characterized by causing a computer to function as each section according to claim 1 or 2, wherein.
JP2016017960A 2016-02-02 2016-02-02 Anomaly detection device, anomaly detection system, anomaly detection method, and program Active JP6476143B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016017960A JP6476143B2 (en) 2016-02-02 2016-02-02 Anomaly detection device, anomaly detection system, anomaly detection method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016017960A JP6476143B2 (en) 2016-02-02 2016-02-02 Anomaly detection device, anomaly detection system, anomaly detection method, and program

Publications (2)

Publication Number Publication Date
JP2017139558A JP2017139558A (en) 2017-08-10
JP6476143B2 true JP6476143B2 (en) 2019-02-27

Family

ID=59566484

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016017960A Active JP6476143B2 (en) 2016-02-02 2016-02-02 Anomaly detection device, anomaly detection system, anomaly detection method, and program

Country Status (1)

Country Link
JP (1) JP6476143B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7127525B2 (en) * 2018-12-19 2022-08-30 日本電信電話株式会社 DETECTION DEVICE, DETECTION METHOD, AND DETECTION PROGRAM

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3697249B2 (en) * 2003-04-30 2005-09-21 株式会社エヌ・ティ・ティ・データ Network status monitoring system and program

Also Published As

Publication number Publication date
JP2017139558A (en) 2017-08-10

Similar Documents

Publication Publication Date Title
CN110121876B (en) System and method for detecting malicious devices by using behavioral analysis
CN108183950B (en) Method and device for establishing connection of network equipment
US11144667B2 (en) Machine-driven crowd-disambiguation of data resources
US9268956B2 (en) Online-monitoring agent, system, and method for improved detection and monitoring of online accounts
CN102571932B (en) For application on site, user provides status service
US9225731B2 (en) System for detecting the presence of rogue domain name service providers through passive monitoring
US9602499B2 (en) Authenticating a node in a communication network
TR201816182T4 (en) NETWORK DIAGNOSIS AS A SERVICE
CN105100032A (en) Method and apparatus for preventing resource steal
KR102156891B1 (en) System and method for detecting and blocking web attack through web protocol behavior analysis based on ai machine learning
AU2012260619B2 (en) Supervised data transfer
US20120272319A1 (en) Apparatus, and system for determining and cautioning users of Internet connected clients of potentially malicious software and method for operating such
CN109964469A (en) Method and system for updating a whitelist at a network node
CN104967632B (en) Webpage abnormal data processing method, data server and system
WO2025162388A1 (en) Continuous authentication method and apparatus based on hierarchical fingerprints
JP6476143B2 (en) Anomaly detection device, anomaly detection system, anomaly detection method, and program
CN114257451B (en) Verification interface replacement methods, devices, storage media and computer equipment
CN114978637A (en) Message processing method and device
EP3236633A1 (en) Method and apparatus for processing resource operation request
CN107634969B (en) Data interaction method and device
CN101494654A (en) Method and apparatus for determining server accessibility
EP4120659A1 (en) Network device identification
JP6263452B2 (en) BAND CONTROL SYSTEM, BAND CONTROL METHOD, AND PROGRAM
JP7646682B2 (en) System and method for network monitoring, reporting, and risk mitigation - Patents.com
US11611556B2 (en) Network connection request method and apparatus

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171213

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180829

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180911

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181018

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190129

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190204

R150 Certificate of patent or registration of utility model

Ref document number: 6476143

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150