Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7052575B2 - 判定装置、判定方法及び判定プログラム - Google Patents
[go: Go Back, main page]

JP7052575B2 - 判定装置、判定方法及び判定プログラム - Google Patents

判定装置、判定方法及び判定プログラム Download PDF

Info

Publication number
JP7052575B2
JP7052575B2 JP2018109040A JP2018109040A JP7052575B2 JP 7052575 B2 JP7052575 B2 JP 7052575B2 JP 2018109040 A JP2018109040 A JP 2018109040A JP 2018109040 A JP2018109040 A JP 2018109040A JP 7052575 B2 JP7052575 B2 JP 7052575B2
Authority
JP
Japan
Prior art keywords
communication
determination
information
convergence
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018109040A
Other languages
English (en)
Other versions
JP2019213103A (ja
Inventor
一凡 張
真樹 谷川
幸雄 永渕
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Inc
NTT Inc USA
Original Assignee
Nippon Telegraph and Telephone Corp
NTT Inc USA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, NTT Inc USA filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2018109040A priority Critical patent/JP7052575B2/ja
Priority to EP19814541.9A priority patent/EP3817297B1/en
Priority to PCT/JP2019/022428 priority patent/WO2019235550A1/ja
Priority to US15/734,558 priority patent/US11509657B2/en
Publication of JP2019213103A publication Critical patent/JP2019213103A/ja
Application granted granted Critical
Publication of JP7052575B2 publication Critical patent/JP7052575B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y30/00IoT infrastructure
    • G16Y30/10Security thereof

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、判定装置、判定方法及び判定プログラムに関する。
従来、IoT機器等の通信機器における不正通信の検知を行うために、当該通信機器の通信に関する情報を収集し、収集した情報を解析し通信のパターンを学習する方法が知られている。また、その際に、学習のための情報を収集する方法として、あらかじめ定められた特定の期間だけ情報を収集する方法、及び、抽出可能なパターンの数があらかじめ設定された目標数に達するまで情報を収集する方法が知られている。
入門 機械学習による異常検知 - Rによる実践ガイド - ,コロナ社,井手剛著,ISBN:978-4-339-02491-3
しかしながら、従来の情報を収集する方法には、IoT機器の通信に関する情報の収集を効率良く行うことが困難な場合があるという問題がある。ここで、一般的に専用機として用いられるIoT機器には、Webサイトの閲覧等に用いられる汎用機と異なり、通信先等が限られるため、発生する通信のパターンが限定的になる傾向がある。そのため、IoT機器の通信に関する情報を過不足なく収集することで、当該IoT機器の通信のパターンを効率的に網羅することができると考えられる。
例えば、特定の期間だけ情報を収集する方法については、設定された期間が長すぎて、情報が十分に収集された後も情報の収集が続けられることや、設定された期間が短すぎて、情報が十分に収集できないことが起こり得る。
また、抽出可能なパターンの数があらかじめ設定された目標数に達するまで情報を収集する方法についても、十分な学習を行うのに必要なパターンの数は機器によって異なるため、多すぎず少なすぎない目標数をあらかじめ設定することは困難である。
上述した課題を解決し、目的を達成するために、判定装置は、機器の通信に関する情報を収集する収集部と、前記収集部によって収集された情報から、前記機器による不正通信の検知に用いられるパターンを抽出する抽出部と、前記パターンの数の累積値の変化を所定の曲線を示す関数に近似することによって、前記変化の収束の度合いを計算する計算部と、前記収束の度合いが所定値以上であるか否かを判定する判定部と、を有することを特徴とする。
本発明によれば、IoT機器の通信に関する情報の収集を効率良く行うことができる。
図1は、第1の実施形態に係る判定装置の構成の一例を示す図である。 図2は、曲線について説明するための図である。 図3は、曲線について説明するための図である。 図4は、時間を変数とした場合のフィッティングについて説明するための図である。 図5は、通信量を変数とした場合のフィッティングについて説明するための図である。 図6は、時間又は通信量を変数とした場合のフィッティングについて説明するための図である。 図7は、第1の実施形態に係る判定装置の処理の流れを示すフローチャートである。 図8は、第1の実施形態に係る判定装置の処理の流れを示すフローチャートである。 図9は、判定プログラムを実行するコンピュータの一例を示す図である。
以下に、本願に係る判定装置、判定方法及び判定プログラムの実施形態を図面に基づいて詳細に説明する。なお、本発明は、以下に説明する実施形態により限定されるものではない。
[第1の実施形態の構成]
まず、図1を用いて、第1の実施形態に係る判定装置の構成について説明する。図1は、第1の実施形態に係る判定装置の構成の一例を示す図である。図1に示すように、判定装置10は、汎用機20及びIoT機器30と接続されている。また、判定装置10は、ネットワーク40を介して、サーバ50と接続されている。
例えば、判定装置10は、汎用機20及びIoT機器30と、ネットワーク40とを接続するためのゲートウェイ装置である。例えば、ネットワーク40はインターネットである。
ここで、汎用機20は、サーバマシン、パーソナルコンピュータ、スマートフォン等の、通信機能を有し、汎用的な目的で使用される情報処理装置である。一方、IoT機器30は、専用の目的で使用される機器に通信機能を持たせたものである。例えば、IoT機器30は、工場等の稼働監視センサ、自動車、決済端末、監視カメラ等の種々の機器に通信機能を付加したものである。
次に、判定装置10について説明する。図1に示すように、判定装置10は、通信部11、記憶部12及び制御部13を有する。判定装置10は、接続された各機器の通信に関する情報を収集する。このとき、判定装置10は、不正通信の検知を目的として通信に関する情報を収集する。そして、判定装置10は、情報が十分に収集されたか否かを判定する。
また、判定装置10は、収集した情報を解析し、不正通信を検知するための情報を生成し、出力することができる。さらに、判定装置10は、生成した情報を用いて不正通信の検知を行ってもよい。例えば、判定装置10は、収集した情報を基に通信パターンのホワイトリストを生成し、生成したホワイトリストを用いて不正通信の検知を行うことができる。
通信部11は、汎用機20及びIoT機器30とネットワーク40との間で送受信されるパケットのプロトコルの変換等を行い、判定装置10をゲートウェイとして機能させる。また、通信部11は、パケットをキャプチャし、キャプチャしたパケットを制御部13に受け渡す。また、通信部11は、汎用機20及びIoT機器30に対し、ブロック等の通信制御を行うことができる。
記憶部12は、HDD(Hard Disk Drive)、SSD(Solid State Drive)、光ディスク等の記憶装置である。なお、記憶部12は、RAM(Random Access Memory)、フラッシュメモリ、NVSRAM(Non Volatile Static Random Access Memory)等のデータを書き換え可能な半導体メモリであってもよい。記憶部12は、判定装置10で実行されるOS(Operating System)や各種プログラムを記憶する。さらに、記憶部12は、プログラムの実行で用いられる各種情報を記憶する。
制御部13は、判定装置10全体を制御する。制御部13は、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)等の電子回路や、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)等の集積回路である。また、制御部13は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、内部メモリを用いて各処理を実行する。また、制御部13は、各種のプログラムが動作することにより各種の処理部として機能する。例えば、制御部13は、収集部131、抽出部132、計算部133及び判定部134を有する。
収集部131は、IoT機器30の通信に関する情報を収集する。収集部131は、通信部11でキャプチャされたパケットを読み取ることで通信に関する情報を収集することができる。
また、判定装置10には、IoT機器30だけでなく、汎用機20が接続されている。汎用機20は、Webブラウジング等に用いられることがあり、通信先の数、使用しているプロトコルの数、及び使用しているポートの数が多くなる傾向がある。一方、IoT機器30は、通信の目的が限定的であることから、通信先の数、使用しているプロトコルの数、及び使用しているポートの数等が汎用機に比べて少ない傾向がある。
また、汎用機20は、搭載されたOS特有の通信先と通信を行う場合がある。例えば、汎用機20にAndroid(登録商標)が搭載されている場合、汎用機20は、OSの拡張のためのストアであるGooglePlayと通信を行う場合がある(参考URL:https://www.android.com/intl/ja_jp/play/)。
そこで、本実施形態では、IoT機器30の通信を解析の対象とするため、収集部131は、接続されている機器のうち、あらかじめ定められた特定の通信先との通信を行っている機器と、通信先の数、使用しているプロトコルの数、及び使用しているポートの数のいずれかがあらかじめ定められた数以上である機器とのいずれにも該当しない機器をIoT機器30とみなし、当該IoT機器30とみなした機器の通信に関する情報を収集する。
例えば、判定装置10は、各OSの特有の通信先の一覧をブラックリストとして記憶しておき、パケットの通信先が当該ブラックリストにヒットした場合、当該パケットに係る通信を行っている機器を汎用機20とみなすことができる。
抽出部132は、収集部131によって収集された情報から、IoT機器30による不正通信の検知に用いられるパターンを抽出する。例えば、抽出部132は、IoT機器30の通信の通信先、プロトコル、コネクションごとの通信量、通信が発生する時間帯及び通信が発生する時間間隔のいずれかを通信のパターンとして抽出する。
例えば、抽出部132は、通信先として宛先IPアドレスを通信のパターンに含めることできる。また、例えば、抽出部132は、プロトコルがTCPであるか、又はUDPであるかを示す情報を通信のパターンに含めることできる。また、例えば、抽出部132は、コネクション単位の通信量を通信のパターンに含めることができる。また、抽出部132は、時間帯ごとに所定の長さのタイムウィンドウを設定し、通信が発生した時刻を含むタイムウィンドウをパターンとして抽出してもよい。また、抽出部132は、通信が発生した時間の間隔をパターンとして抽出してもよい。また、通信のパターンは、いわゆるパケットの5タプルの要素のいずれか又は組み合わせであってもよい。なお、抽出部132は、抽出対象が通信量や時間といった連続量である場合、当該連続量を離散化した値をパターンとして抽出することができる。
ここで、一般的に、IoT機器には、インターネットに接続されてすぐに可能な限りの通信を行うというよりは、デイリーやウィークリーといった実行スパンに応じて通信を行うという特徴がある。
このため、IoT機器30がインターネットに接続された直後には、判定装置10は、IoT機器30の通信に関する情報を十分に収集できないことが考えられる。逆に、1週間、1か月といった所定の単位の期間が経過した後は、同じような通信が周期的に発生するだけで、判定装置10は、情報の収集を続けたとしても、有用な情報を得にくくなることが考えられる。
そこで、実施形態では、収集した情報から抽出したパターンの数の累積値の変化に着目し、当該変化が収束するタイミングで判定装置10による情報の収集を終了させることで、処理の効率化を図っている。
そこで、計算部133は、パターンの数の累積値の変化を所定の曲線を示す関数に近似することによって、変化の収束の度合いを計算する。判定部134によって収束の度合いが所定値以上であると判定された場合、判定装置10は情報の収集を終了する。
ここで、計算部133は、パターンの数の累積値の変化を、図2に示すようなゴンペルツ曲線を示す関数に近似することができる。図2は、曲線について説明するための図である。なお、図2に示すように、ゴンペルツ曲線は、横軸が無限大の場合にKに収束する。
例えば、図2のように、xをIoT機器30の情報の収集が開始されてから経過した時間、yをy=Kbe-cxとした場合、計算部133は、x=tである場合の収束率をKbe-ct/K=be-ctと計算することができる。ただし、K、b、cはいずれも近似処理により決定される正の数であり、0<b<1が満たされる。
また、計算部133は、図2に示すロジスティック曲線を近似に用いてもよい。その他にも、計算部133は、図3に示すような種々の曲線を近似に用いることができる。図3は、曲線について説明するための図である。
図2の例では、横軸は時間であるが、横軸は時間の対数、通信の量、通信の量の対数等であってもよい。つまり、計算部133は、パターンの数の累積値の変化を、IoT機器30の情報の収集が開始されてから経過した時間、時間の対数、IoT機器30において発生した累積通信量、累積通信量の対数、又は発生したコネクション数の累計を変数とする関数に近似することによって、収束の度合いを計算する。
ここで、変数の設定ごとの、計算部133による近似処理を、図4、図5及び図6を用いて説明する。なお、各図は、計算部133の処理を、説明のために視覚的に表現したものである。また、プロット及びフィッティングは、関数への近似と同様の処理を意味するものである。
図4は、時間を変数とした場合のフィッティングについて説明するための図である。計算部133は、S秒ごとに時刻0から時刻Aまで、パターン数の累積値をプロットしていくものとする。計算部133は、プロットされた累積値を曲線にフィッティングし、各パラメータを計算する。そして、計算部133は、計算したパラメータを基に時刻Aにおける収束率を計算する。例えば、ゴンペルツ曲線にフィッティングする場合、計算部133は、y=Kbe-cxにおけるK、b、cを計算し、収束率be-cAを計算する。
図5は、通信量を変数とした場合のフィッティングについて説明するための図である。計算部133は、通信量Tキロバイトごとに0キロバイトからBキロバイトまで、パターン数の累積値をプロットしていくものとする。計算部133は、プロットされた累積値を曲線にフィッティングし、各パラメータを計算する。そして、計算部133は、計算したパラメータを基に通信量がBキロバイトであるときの収束率を計算する。例えば、ゴンペルツ曲線にフィッティングする場合、計算部133は、y=Kbe-cxにおけるK、b、cを計算し、計算部133は、収束率be-cBを計算する。
図6は、時間又は通信量を変数とした場合のフィッティングについて説明するための図である。計算部133は、所定の秒数ごとに時刻0から時刻の対数がAになるまで、パターン数の累積値をプロットしていくものとする。計算部133は、プロットされた累積値を曲線にフィッティングし、各パラメータを計算する。そして、計算部133は、計算したパラメータを基に時刻Aにおける収束率を計算する。例えば、ゴンペルツ曲線にフィッティングする場合、計算部133は、y=Kbe-cxにおけるK、b、cを計算し、収束率be-cAを計算する。
判定部134は、収束の度合いが所定値以上であるか否かを判定する。例えば、判定部134は、収束率が0.95以上であるか否かを判定する。そして、判定装置10は、収束率が0.95以上であると判定された場合、情報の収集が十分に行われたものとして、収集部131による情報の収集を停止する。
また、判定部134は、収束の度合いが所定値以上でないと判定した場合、さらに、IoT機器30の情報の収集が開始されてから所定の時間が経過したか否かを判定する。これにより、判定装置10は、情報の収集を開始して一定期間が経過しても累積値が収束しない場合、情報の収集を中止することができる。
[第1の実施形態の処理]
図7及び図8は、第1の実施形態に係る判定装置の処理の流れを示すフローチャートである。まず、図7に示すように、判定装置10は、通信をキャプチャする(ステップS1)。次に、判定装置10は、キャプチャした通信に係る機器が新規機器であるか否かを判定する(ステップS2)。例えば、新規機器とは、新たに追加された汎用機20又はIoT機器30であって、それまでに判定装置10による情報の収集及び解析の対象とされていない機器である。通信に係る機器が新規機器でない場合(ステップS2、No)、判定装置10は処理を終了する。
一方、通信に係る機器が新規機器である場合(ステップS2、Yes)、判定装置10は、当該機器が汎用機であるか否かを判定する(ステップS3)。判定装置10は、機器が汎用機であると判定した場合(ステップS3、Yes)、処理を終了する。一方、判定装置10は、機器が汎用機でないと判定した場合(ステップS3、No)、解析を実行する(ステップS4)。
ステップS4の処理について、図8を用いて詳細に説明する。まず、判定装置10は、キャプチャしたパケットからデータを取得し解析用のデータとして追加する(ステップS401)。そして、判定装置10は、解析用のデータから通信パターンを探索し抽出する(ステップS402)。
ここで、抽出した通信パターンの中に新規通信パターンがある場合(ステップS403、Yes)、又は、新規通信パターンはないが(ステップS403、No)、所定の条件が充足された場合(ステップS404、Yes)、判定装置10は、ステップS405の処理を実行する。
例えば、判定装置10は、前回ステップS405のプロットを行ってから、一定時間が経過している場合、所定の条件が充足されたと判定する。つまり、判定装置10は、パターンの累積値が増加することなく一定時間が経過したことを示す情報についても、近似処理及び収束率の計算の対象とする。
一方、抽出した通信パターンの中に新規通信パターンがなく(ステップS403、No)、又は、所定の条件が充足されていない場合(ステップS404、No)、判定装置10は、ステップS401へ戻り、次のデータを対象とした処理を実行する。
次に、判定装置10は、プロット及びフィッティングを行い(ステップS405、S406)、収束率を計算する(ステップS407)。つまり、判定装置10は、累積値の変化を曲線の関数へ近似し、さらにその時点での収束率を計算する。
ここで、収束率が閾値以上である場合(ステップS408、Yes)、判定装置10は、累積値の変化が収束したものとして、それまでに抽出した通信パターンから生成される通信の特徴を出力する(ステップS409)。
一方、収束率が閾値以上でない場合(ステップS408、No)、判定装置10は、累積値の変化が収束していないものとして、さらに、処理時間が閾値以上であるか否かを判定する(ステップS410)。処理時間が閾値以上でない場合(ステップS410、No)、判定装置10は、ステップS401へ戻り、次のデータを対象とした処理を実行する。また、処理時間が閾値以上である場合(ステップS410、Yes)、判定装置10は、当該通信機器についてはパターン化が不可であると判断する(ステップS411)。
[第1の実施形態の効果]
第1の実施形態の判定装置10は、IoT機器30の通信に関する情報を収集する。また、判定装置10は、収集された情報から、IoT機器30による不正通信の検知に用いられるパターンを抽出する。また、判定装置10は、パターンの数の累積値の変化を所定の曲線を示す関数に近似することによって、変化の収束の度合いを計算する。また、判定装置10は、収束の度合いが所定値以上であるか否かを判定する。このように、判定装置10は、収集した情報から抽出したパターンの数が収束しているか否かを判定することができる。このため、判定装置10は、過不足なく情報を収集することができるため、IoT機器の通信に関する情報の収集を効率良く行うことができる。
また、判定装置10は、接続されている機器のうち、あらかじめ定められた特定の通信先との通信を行っている機器と、通信先の数、使用しているプロトコルの数、及び使用しているポートの数のいずれかがあらかじめ定められた数以上である機器とのいずれにも該当しない機器をIoT機器30とみなし、当該IoT機器30とみなした機器の通信に関する情報を収集することができる。これにより、判定装置10は、汎用機20とIoT機器30とを区別することが可能になる。
また、判定装置10は、IoT機器30の通信の通信先、プロトコル、コネクションごとの通信量、通信が発生する時間帯及び通信が発生する時間間隔のいずれかを通信のパターンとして抽出することができる。これにより、判定装置10は、ある程度の情報を収集することで収束されることが予想される通信パターンを抽出することができる。
また、判定装置10は、パターンの数の累積値の変化を、IoT機器30の情報の収集が開始されてから経過した時間、時間の対数、IoT機器30において発生した累積通信量、累積通信量の対数、又は発生したコネクション数の累計を変数とする関数に近似することによって、収束の度合いを計算する。これにより、判定装置10は、IoT機器30の性質に合わせた方法で近似及び収束の表かを行うことができる。
また、判定装置10は、収束の度合いが所定値以上でないと判定した場合、さらに、IoT機器30の情報の収集が開始されてから所定の時間が経過したか否かを判定する。これにより、判定装置10は、累積値の変化が収束しないと考えられる場合、又は収束に膨大な時間がかかると考えられる場合、処理を打ち切ることができる。
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散及び統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散又は統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
一実施形態として、判定装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記の判定処理を実行する判定プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の判定プログラムを情報処理装置に実行させることにより、情報処理装置を判定装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等のスレート端末等がその範疇に含まれる。
また、判定装置10は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の判定処理に関するサービスを提供する解析サーバ装置として実装することもできる。例えば、解析サーバ装置は、キャプチャしたパケットを入力とし、収束したか否かを示す情報を出力とする解析サービスを提供するサーバ装置として実装される。この場合、解析サーバ装置は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の判定処理に関するサービスを提供するクラウドとして実装することとしてもかまわない。
図9は、判定プログラムを実行するコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、判定装置10の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、判定装置10における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSDにより代替されてもよい。
また、上述した実施形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020は、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した実施形態の処理を実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
10 判定装置
11 通信部
12 記憶部
13 制御部
20 汎用機
30 IoT機器
40 ネットワーク
50 サーバ
131 収集部
132 抽出部
133 計算部
134 判定部

Claims (7)

  1. 機器の通信に関する情報を収集する収集部と、
    前記収集部によって収集された情報から、前記機器による不正通信の検知に用いられるパターンを抽出する抽出部と、
    前記機器において発生した通信について、一定の通信量ごとの前記パターンの数の累積値をプロットし、プロットした前記パターンの数の累積値の変化を所定の曲線を示す関数に近似することによって、前記変化の収束の度合いを計算する計算部と、
    前記収束の度合いが所定値以上であるか否かを判定する判定部と、
    を有することを特徴とする判定装置。
  2. 前記収集部は、接続されている機器のうち、あらかじめ定められた特定の通信先との通信を行っている機器と、通信先の数、使用しているプロトコルの数、及び使用しているポートの数のいずれかがあらかじめ定められた数以上である機器とのいずれにも該当しない機器をIoT機器とみなし、当該IoT機器とみなした機器の通信に関する情報を収集することを特徴とする請求項1に記載の判定装置。
  3. 前記抽出部は、前記機器の通信の通信先、プロトコル、コネクションごとの通信量、通信が発生する時間帯及び通信が発生する時間間隔のいずれかを前記通信のパターンとして抽出することを特徴とする請求項1に記載の判定装置。
  4. 前記計算部は、前記パターンの数の累積値の変化を、前記機器の情報の収集が開始されてから経過した時間、前記時間の対数、前記機器において発生した累積通信量、前記累積通信量の対数、又は発生したコネクション数の累計を変数とする関数に近似することによって、前記収束の度合いを計算することを特徴とする請求項1に記載の判定装置。
  5. 前記判定部は、前記収束の度合いが所定値以上でないと判定した場合、さらに、前記機器の情報の収集が開始されてから所定の時間が経過したか否かを判定することを特徴とする請求項1に記載の判定装置。
  6. コンピュータによって実行される判定方法であって、
    機器の通信に関する情報を収集する収集工程と、
    前記収集工程によって収集された情報から、前記機器による不正通信の検知に用いられるパターンを抽出する抽出工程と、
    前記機器において発生した通信について、一定の通信量ごとの前記パターンの数の累積値をプロットし、プロットした前記パターンの数の累積値の変化を所定の曲線を示す関数に近似することによって、前記変化の収束の度合いを計算する計算工程と、
    前記収束の度合いが所定値以上であるか否かを判定する判定工程と、
    を含むことを特徴とする判定方法。
  7. コンピュータを、請求項1から5のいずれか1項に記載の判定装置として機能させるための判定プログラム。
JP2018109040A 2018-06-06 2018-06-06 判定装置、判定方法及び判定プログラム Active JP7052575B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2018109040A JP7052575B2 (ja) 2018-06-06 2018-06-06 判定装置、判定方法及び判定プログラム
EP19814541.9A EP3817297B1 (en) 2018-06-06 2019-06-05 Determination apparatus, determination method and determination program
PCT/JP2019/022428 WO2019235550A1 (ja) 2018-06-06 2019-06-05 判定装置、判定方法及び判定プログラム
US15/734,558 US11509657B2 (en) 2018-06-06 2019-06-05 Determination device, determination method, and determination program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018109040A JP7052575B2 (ja) 2018-06-06 2018-06-06 判定装置、判定方法及び判定プログラム

Publications (2)

Publication Number Publication Date
JP2019213103A JP2019213103A (ja) 2019-12-12
JP7052575B2 true JP7052575B2 (ja) 2022-04-12

Family

ID=68769378

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018109040A Active JP7052575B2 (ja) 2018-06-06 2018-06-06 判定装置、判定方法及び判定プログラム

Country Status (4)

Country Link
US (1) US11509657B2 (ja)
EP (1) EP3817297B1 (ja)
JP (1) JP7052575B2 (ja)
WO (1) WO2019235550A1 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7321130B2 (ja) * 2020-09-11 2023-08-04 Kddi株式会社 ホワイトリスト生成装置、ホワイトリスト生成方法及びコンピュータプログラム
US12438787B2 (en) 2021-02-18 2025-10-07 Ntt, Inc. Analysis device, analysis system, analysis method, and analysis program
US12506752B2 (en) 2021-03-15 2025-12-23 Ntt, Inc. Traffic sensor, analysis method, and analysis program
CN117043770A (zh) 2021-03-19 2023-11-10 日本电信电话株式会社 通信业务传感器、分析方法以及分析程序

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008075495A (ja) 2006-09-20 2008-04-03 Toyota Motor Corp 内燃機関の空燃比制御装置
JP2009135649A (ja) 2007-11-29 2009-06-18 Mitsubishi Electric Corp データ処理装置及びデータ処理方法及びプログラム

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060259620A1 (en) * 2003-10-10 2006-11-16 Hiroaki Tamai Statistical information collecting method and apparatus
US9628499B1 (en) * 2012-08-08 2017-04-18 Google Inc. Statistics-based anomaly detection
US9791841B2 (en) * 2014-08-12 2017-10-17 Citrix Systems, Inc. Designer interface for control systems
US10305917B2 (en) * 2015-04-16 2019-05-28 Nec Corporation Graph-based intrusion detection using process traces
US10581902B1 (en) * 2015-11-30 2020-03-03 F5 Networks, Inc. Methods for mitigating distributed denial of service attacks and devices thereof
US10333958B2 (en) * 2016-07-19 2019-06-25 Cisco Technology, Inc. Multi-dimensional system anomaly detection
US11355240B2 (en) * 2017-09-26 2022-06-07 Edge2020 LLC Determination of health sciences recommendations
US10931587B2 (en) * 2017-12-08 2021-02-23 Reniac, Inc. Systems and methods for congestion control in a network

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008075495A (ja) 2006-09-20 2008-04-03 Toyota Motor Corp 内燃機関の空燃比制御装置
JP2009135649A (ja) 2007-11-29 2009-06-18 Mitsubishi Electric Corp データ処理装置及びデータ処理方法及びプログラム

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
伊藤 拓也 Takuya ITO,どこでテストをやめるか?,ソフトウェア・テストPRESS Vol.1 ,日本,(株)技術評論社,2006年04月15日,第1巻,p.58-64
張 一凡 Iifan Tyou,非集中化IoTセキュリティ制御の検討 ,情報処理学会 研究報告 セキュリティ心理学とトラスト(SPT) 2018-SPT-027 [online] ,日本,情報処理学会,2018年02月28日,p.1-6

Also Published As

Publication number Publication date
US11509657B2 (en) 2022-11-22
EP3817297B1 (en) 2022-11-16
WO2019235550A1 (ja) 2019-12-12
US20210234863A1 (en) 2021-07-29
JP2019213103A (ja) 2019-12-12
EP3817297A1 (en) 2021-05-05
EP3817297A4 (en) 2022-01-19

Similar Documents

Publication Publication Date Title
CN109831465B (zh) 一种基于大数据日志分析的网站入侵检测方法
JP7052575B2 (ja) 判定装置、判定方法及び判定プログラム
Moustafa et al. Big data analytics for intrusion detection system: Statistical decision-making using finite dirichlet mixture models
CN110808994B (zh) 暴力破解操作的检测方法、装置及服务器
CN108282440B (zh) 一种安全检测方法、安全检测装置及服务器
CN109739749B (zh) 网站性能优化方法、装置、设备及存储介质
JP6564799B2 (ja) 閾値決定装置、閾値決定方法及びプログラム
KR101043299B1 (ko) 악성 코드 탐지 방법, 시스템 및 컴퓨터 판독 가능한 저장매체
US10749895B2 (en) Handling network threats
US11477218B2 (en) Cluster-based precision mitigation of network attacks
Izhikevich et al. Predicting IPv4 services across all ports
CN112347474B (zh) 一种安全威胁情报的构建方法、装置、设备和存储介质
JP6721057B2 (ja) 通信セッションログ解析装置、方法
KR102040371B1 (ko) 네트워크 공격 패턴 분석 및 방법
CN116155519A (zh) 威胁告警信息处理方法、装置、计算机设备和存储介质
CN111382435A (zh) 检测计算机系统中的恶意活动的来源的系统和方法
CN112352402B (zh) 生成装置、生成方法和记录介质
US9794274B2 (en) Information processing apparatus, information processing method, and computer readable medium
JP2019103069A (ja) 特定システム、特定方法及び特定プログラム
CN107209833B (zh) 恶意软件分析系统、恶意软件分析方法及记录介质
CN111901324A (zh) 一种基于序列熵流量识别的方法、装置和存储介质
JP6393010B2 (ja) 解析方法、解析装置および解析プログラム
US20210083985A1 (en) System and method for determining a network performance property in at least one network
Millí et al. Application of the analysis of self-similar teletraffic with long-range dependence (LRD) at the network layer level
JP2018169897A (ja) 検知装置、検知方法及び検知プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200924

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210706

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210906

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220301

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220314

R150 Certificate of patent or registration of utility model

Ref document number: 7052575

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350